faq обучение настройка
Текущее время: Чт дек 12, 2019 19:43

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: Помогите с настройкой DAS-3224/E/C
СообщениеДобавлено: Вт май 03, 2011 11:48 
Не в сети

Зарегистрирован: Пн ноя 22, 2010 15:46
Сообщений: 228
Откуда: Рыбинск, Ярославская обл.
Задача запретить на DSL-портах любой трафик кроме PPPoE фреймов.
Пример настройки:
на стороне клиента:
PVC: 0/33
PPPoE Encapsulation, login, pass
на стороне сервера FreeBSD+mpd5:
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:e0:4c:7c:41:57
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active

На DSLAM pppoe приходит как тегированый 220 vlan.
Конфигурация vlan:
Скрытый текст: показать
modify vlan static vlanid 1 egressports 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 untaggedports 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
create vlan static vlanname pppoe vlanid 220 egressports 385 untaggedports none
modify gvrp port info portid 1 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 2 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 3 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 4 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 5 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 6 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 7 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 8 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 9 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 10 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 11 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 12 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 13 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 14 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 15 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 16 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 17 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 18 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 19 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 20 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 21 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 22 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 23 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 24 portvlanid 220 acceptframetypes all ingressfiltering true
modify gvrp port info portid 385 portvlanid 220 acceptframetypes tagged ingressfiltering true
modify gvrp port info portid 386 portvlanid 1 acceptframetypes all ingressfiltering false


То есть, не нужно, чтобы ходили левые DHCP запросы/ответы для тех модемов, которые работают в режиме bridge
Ранее, мне показали способ с запрещением трафика по IP для сети 192.168.1.х здесь - viewtopic.php?p=696243#p696243
Но данный способ мне не очень подходит, так как некоторые особо умные абоненты организовывают локальные сети и прекрасно общаются через MS-NetBIOS и прочие протоколы, что противоречит моей религии в сфере безопасности сетей.

Должен работать только клиент-сервер PPPoE. Остальное нужно зарубить полностью.

Не могу сам разобраться в встроенном фаерволе, не знаю, с чего начать, достаточно сложная логика конфигурирования устройства для меня.
Заранее спасибо!

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Помогите с настройкой DAS-3224/E/C
СообщениеДобавлено: Вт май 03, 2011 12:33 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
Non PPPoE filter .
Задача : Фильтровать все не PPPoE пакеты
1. Требуется чтобы в обе стороны проходили только ethertype 0x8863 и 0x8864 - т.е. ТОЛЬКО PPPoE трафик.
2. В сторону клиента блокировать широковещательный трафик
Разрешаем все пакеты с Ethertype 0x8863 и 0x8864 от клиентов:

Создаем правило:
$ create filter rule entry ruleid 3 action allow ruleprio high ruledir in

$ create filter subrule ether ruleid 3 subruleid 1 ethertypefrom 0x8863 ethertypeto 0x8864
ethertypecmp inrange subruleprio asinrule
Создаем подправило, в котором указываем, что нас интересуют все пакеты протокола PPPoE.
ruleid 3 subruleid 1 – первое подправило третьего правила
ethertypefrom 0x8863 – нижнее значение типа протокола
ethertypeto 0x8864 – верхнее значение типа протокола
ethertypecmp inrange – внутри диапазона ( от 0x8863 до 0x8864)
subruleprio asinrule – приоритет как у правила

$ create filter rule map ruleid 3 stageid 1 ifname alleoa
Применяем правило ко всем интерфейсам eoa ( alleoa)

$ modify filter rule entry ruleid 3 status enable
Включаем правило в работу

$ create filter rule entry ruleid 4 action drop ruledir out pkttype bcast status enable
Запрещаем весь Broadcast трафик в сторону клиентов

$ create filter rule map ruleid 4 stageid 1 ifname alleoa
Включаем фильтр в работу для всех интерфейсов eoa

p.s.Данный пример также имеется в мануале ( руководстве) к ревизии В.
В части консольных команд ревизия C почти ничем не отличается от ревизии В, поэтому можете использовать этот документ ( там достаточно много подобных примеров)
ftp://ftp.dlink.ru/pub/IPDSLAM/DAS-3224 ... B_2.43.pdf

_________________
С уважением, Гакало Алексей


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Помогите с настройкой DAS-3224/E/C
СообщениеДобавлено: Вт май 03, 2011 13:12 
Не в сети

Зарегистрирован: Пн ноя 22, 2010 15:46
Сообщений: 228
Откуда: Рыбинск, Ярославская обл.
Большое спасибо, ответ, достойный FAQ )

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Помогите с настройкой DAS-3224/E/C
СообщениеДобавлено: Вт май 03, 2011 13:40 
Не в сети

Зарегистрирован: Пн ноя 22, 2010 15:46
Сообщений: 228
Откуда: Рыбинск, Ярославская обл.
Правила применил, все работает.
остался один вопрос:
правилом 3 мы разрешили проход PPPoE трафика через фильтр, а где тут мы запретили весь остальной трафик?
я вижу запрет только на широковещательные пакеты (для DHCP как я понял). А что будет с пакетами, которые не соответствуют
типу ethertype 0x8863 и 0x8864?

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Помогите с настройкой DAS-3224/E/C
СообщениеДобавлено: Пн май 23, 2011 10:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
aepot писал(а):
Правила применил, все работает.
остался один вопрос:
правилом 3 мы разрешили проход PPPoE трафика через фильтр, а где тут мы запретили весь остальной трафик?
я вижу запрет только на широковещательные пакеты (для DHCP как я понял). А что будет с пакетами, которые не соответствуют
типу ethertype 0x8863 и 0x8864?


Cорри. Вы правы, тут нехватает еще одного правила.
Запрещаем вес остальной трафик (по Ethertype) от клиентов:
$ create filter rule entry ruleid 5 action drop ruleprio high ruledir in

$ create filter subrule ether ruleid 5 subruleid 1 ethertypecmp any subruleprio asinrule

$ create filter rule map ruleid 5 stageid 1 ifname alleoa

$ modify filter rule entry ruleid 5 status enable

Таким образом все клиентские PPPoE сессии будут устанавливаться и работать нормально, при этом весь остальной трафик (в обход PPP) будет запрещен. Также будет запрещен весь Broadcast трафик в сторону клиентов, что сделает невозможным установление PPPoE сессий извне (PADI пакеты будут отбрасываться).

_________________
С уважением, Гакало Алексей


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Помогите с настройкой DAS-3224/E/C
СообщениеДобавлено: Пт май 27, 2011 14:36 
Не в сети

Зарегистрирован: Пн ноя 22, 2010 15:46
Сообщений: 228
Откуда: Рыбинск, Ярославская обл.
Спасибо! =)

_________________
DGS-1224T, 2 x DES-3226S, DES-3828, DAS-3216, 2 x DAS-3224B, 2 x DAS-3224/E/C, DFL-210, DMC-920R+T


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Помогите с настройкой DAS-3224/E/C
СообщениеДобавлено: Пт июл 22, 2011 05:25 
Не в сети

Зарегистрирован: Пт июл 22, 2011 05:10
Сообщений: 1
Добрый день!

С DAS-3224/E столкнулся в первый раз, он пришел к нам без мануала и установочного диска.
Помогите с настройкой. Задача следующая:
Подключить удаленные пк при помощи модема DSL-2520U.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Помогите с настройкой DAS-3224/E/C
СообщениеДобавлено: Пт июл 22, 2011 10:41 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
Читайте тут:

ftp://ftp.dlink.ru/pub/IPDSLAM/DAS-3224 ... B_2.43.pdf
Особенно:" 5.1. Виды технологий доступа в сетях ADSL"

_________________
С уважением, Гакало Алексей


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB