Добрый день.

DAS-32xx rev B fw R2.47_br59.

Схема работы:
Абоненты по DHCP получают IP, пользуются внутренними ресурсами, доступ в Интернет по PPPoE.

Задача.
Необходимо создать следующий фильтр.
1. Разрешить в сети только ethertype 0x0800, 0x0806, 0x8863, 0x8864.
Чтобы абонент при поднятии у себя PPPoE сервера или DHCP не смог "собрать" этот трафик.

Решение:
Создали фильтры
create filter rule entry ruleid 3 action allow ruleprio high ruledir in
create filter subrule ether ruleid 3 subruleid 1 ethertypefrom 0x8863 ethertypeto 0x8864 ethertypecmp inrange subruleprio asinrule

create filter rule entry ruleid 4 action allow ruleprio high ruledir in
create filter subrule ether ruleid 4 subruleid 1 ethertypefrom 0x0800 ethertypecmp eq subruleprio asinrule

create filter rule entry ruleid 5 action allow ruleprio high ruledir in
create filter subrule ether ruleid 5 subruleid 1 ethertypefrom 0x0806 ethertypecmp eq subruleprio asinrule

create filter rule entry ruleid 6 action drop ruleprio high ruledir in
create filter subrule ether ruleid 6 subruleid 1 ethertypecmp any subruleprio asinrule

create filter rule entry ruleid 7 action drop ruledir out pkttype bcast status enable

Далее вешаем на интерфейсы, активируем правила.

После применения фильтров, возникают проблемы с получением IP адреса клиентом, хотя не должно, на сколько я помню ответ от DHCP сервера идет уже не широковещательный.

Вопрос:
Подскажите пожалуйста, как правильно настроить фильтры на эту задачу?

Здравствуйте,

Созданные правила привязываете ко всем EoA интерфейсам?
Если так, то вот это правило рубит все по Ethertype, кроме PPPoE (для PPPoE уже созданы разрешающие правила для discovery и session):
create filter rule entry ruleid 6 action drop ruleprio high ruledir in
create filter subrule ether ruleid 6 subruleid 1 ethertypecmp any subruleprio asinrule

и вот это правило оказывается лишним:
create filter rule entry ruleid 7 action drop ruledir out pkttype bcast status enable

Скажите, для разных сервисов (локалка и интернет) используются различные VLAN и VC?
Это важно и от этого будет зависить решение задачи.

_________________
С уважением, Давыдов Денис.

Извините, не заметил что у этого правила:
create filter rule entry ruleid 7 action drop ruledir out pkttype bcast status enable
ruledir - out

Это правило понадобится чтобы до абонентов не "долетали" PPPoE и DHCP discovery пакеты, другими словами что бы "левые" PPPoE/DHCP серверы были бесполезны.

Но тем не менее правило:
create filter rule entry ruleid 6 action drop ruleprio high ruledir in
create filter subrule ether ruleid 6 subruleid 1 ethertypecmp any subruleprio asinrule
рубит по Ethertype все, кроме PPPoE

_________________
С уважением, Давыдов Денис.

Да.
create filter rule map ruleid 3 stageid 1 ifname alleoa
create filter rule map ruleid 4 stageid 1 ifname alleoa
create filter rule map ruleid 5 stageid 1 ifname alleoa
create filter rule map ruleid 6 stageid 1 ifname alleoa
create filter rule map ruleid 7 stageid 1 ifname alleoa



VLAN и VC одинаковые.

Тогда непонятно, я как понял правила применяются по очереди.
rule 3 разрешает PPPoE
rule 4 разрешает IPv4
rule 5 разрешает ARP
rule 6 запрещаем все остальные типы
rule 7 блочим bcast

Или логика применения правил другая?

В данной ситуации я бы посоветовал "разнести" два сервиса по разным VLAN и VC. К примеру:
PPPoE: VC 8/35, VLAN 10
DHCP: VC 8/36, VLAN 11

После чего создать правила и привязать их к нужным EoA интерфейсам.

У меня есть пример, в котором решена аналогичная Вашей задача, но в этом примере используется описанная выше схема предоставления услуг (с двумя VC на абонента).
Я попробую сделать это с использованием одного VC на два сервиса, после чего напишу Вам пример.

_________________
С уважением, Давыдов Денис.

Итак, решение для Вашей схемы предоставления услуг (один VC на абонента), на примере 15-го порта:

1. Разрешаем все пакеты с Ethertype 0x8863 и 0x8864 (PPPoE Discovery и Session) от абонентов:
$ create filter rule entry ruleid 15 action allow ruleprio high ruledir in statsstatus enable
$ create filter subrule ether ruleid 15 subruleid 1 ethertypefrom 0x8863 ethertypeto 0x8864 ethertypecmp inrange subruleprio asinrule
$ create filter rule map ifname eoa-15 stageid 1 ruleid 15
$ modify filter rule entry ruleid 15 status enable

2. Разрешаем все пакеты с Ethertype 0x8863 и 0x8864 (PPPoE Discovery и Session) к абонентам:
$ create filter rule entry ruleid 16 action allow ruleprio high ruledir out statsstatus enable
$ create filter subrule ether ruleid 16 subruleid 1 ethertypefrom 0x8863 ethertypeto 0x8864 ethertypecmp inrange subruleprio asinrule
$ create filter rule map ifname eoa-15 stageid 1 ruleid 16
$ modify filter rule entry ruleid 16 status enable

3. Разрешаем IPv4 от абонентов для нормальной работы протокола DHCP и передачи трафика в обход PPP:
$ create filter rule entry ruleid 17 action allow ruleprio high ruledir in statsstatus enable
$ create filter subrule ether ruleid 17 subruleid 1 ethertypefrom 0x0800 ethertypecmp eq subruleprio asinrule
$ create filter rule map ifname eoa-15 stageid 1 ruleid 17
$ modify filter rule entry ruleid 17 status enable

4. Разрешаем IPv4 к абонентам для нормальной работы протокола DHCP и передачи трафика в обход PPP:
$ create filter rule entry ruleid 18 action allow ruleprio high ruledir out statsstatus enable
$ create filter subrule ether ruleid 18 subruleid 1 ethertypefrom 0x0800 ethertypecmp eq subruleprio asinrule
$ create filter rule map ifname eoa-15 stageid 1 ruleid 18
$ modify filter rule entry ruleid 18 status enable

5. Разрешаем работу протокола ARP от абонентов:
$ create filter rule entry ruleid 19 action allow ruleprio high ruledir in statsstatus enable
$ create filter subrule ether ruleid 19 subruleid 1 ethertypefrom 0x0806 ethertypecmp eq subruleprio asinrule
$ create filter rule map ifname eoa-15 stageid 1 ruleid 19
$ modify filter rule entry ruleid 19 status enable

6. Разрешаем работу протокола ARP к абонентам:
$ create filter rule entry ruleid 20 action allow ruleprio high ruledir out statsstatus enable
$ create filter subrule ether ruleid 20 subruleid 1 ethertypefrom 0x0806 ethertypecmp eq subruleprio asinrule
$ create filter rule map ifname eoa-15 stageid 1 ruleid 20
$ modify filter rule entry ruleid 20 status enable

7. Запрещаем весь остальной трафик по Ethertype от абонентов:
$ create filter rule entry ruleid 21 action drop ruleprio high ruledir in statsstatus enable
$ create filter subrule ether ruleid 21 subruleid 1 ethertypecmp any subruleprio asinrule
$ create filter rule map ifname eoa-15 stageid 1 ruleid 21
$ modify filter rule entry ruleid 21 status enable

8. Запрещаем весь остальной трафик по Ethertype к абонентам:
$ create filter rule entry ruleid 22 action drop ruleprio high ruledir out statsstatus enable
$ create filter subrule ether ruleid 22 subruleid 1 ethertypecmp any subruleprio asinrule
$ create filter rule map ifname eoa-15 stageid 1 ruleid 22
$ modify filter rule entry ruleid 22 status enable

9. Запрещаем весь Broadcast трафик к абонентам для предотвращения появления "левых" DHCP и PPPoE серверов в сети:
$ create filter rule entry ruleid 23 action drop ruledir out pkttype bcast status enable statsstatus enable
$ create filter rule map ruleid 23 stageid 1 ifname eoa-15

Все проверено и работает.
Счетчики $get filter rule stats обновляются.

_________________
С уважением, Давыдов Денис.

Денис, большое спасибо за пример.

А можно эти правила применить как ifname alleoa, или нужно для каждого пора создавать отдельное правило со свом ruleid?

Пожалуйста.

Для каждого ruleid можно выполнить команду:
$create filter rule map ruleid <ruleid> ifname alleoa stageid 1

_________________
С уважением, Давыдов Денис.