Где можно найти более детальное описание команд фильтрации? Информации в FAQ не достаточно.
В частности интересует:
- фильтрация ethernet-фреймов по ethertype;
- фильтрация tcp-, udp-пакетов по портам;
- фильтрация tcp-пакетов по tcp-флагам (SYN, ACK);
- ограничение по количеству правил в фильтре на порту.

В руководстве пользователя и в help CLI.
1. Создайте подправило ether, там есть поле ethertype:
$ create filter subrule ether ?

2. Подправила UDP, TCP могут фильтровать по портам.
$ create filter subrule tcp
$ create filter subrule udp

3. В явном виде фильтрации по флагам пока нет.
4. Ограничений на количество правил на порту нет.

И фильтровать входящие TCP-соединения (установлен только SYN) в настоящее время никак не получится?


А ограничение на суммарное количество правил есть?

получится, но придется смещения считать.


Есть.
275 ingress правил
25 egress
100 подправил для каждого правила

Покажите правило для примера: установлен 2 младший бит в 14 байте TCP пакета.

$create filter rule entry ruleid 2 action drop statsstatus enable
//создаем правило, включаем сбор статистики срабатываний для него

$create filter subrule generic ruleid 2 subruleid 1 offsethdr tcp offset 12 mask 0x00020000 valuefrom 0x00020000 gencmp eq subruleprio high
//подправило, начинаем считать от заголовка TCP, отступаем на 12 байт и задаем маску с 1 в нужном нам месте

$create filter rule map ruleid 2 ifname eth-0 stageid 1
//прикладываем правило к интерфейсу

$modify filter rule entry ruleid 2 status enable
//включаем правило

Можно посмотреть число срабатываний правила: $ get filter rule stats ruleid 2

Доброго времени суток!

Поднял старую тему для решения наболевшей проблемы.
Для привязки IP к порту в доке есть пример

create filter rule entry ruleid 2 action allow
create filter subrule ip ruleid 2 subruleid 1 srcipaddrfrom 192.168.100.207 srcaddrcmp eq dstaddrcmp any ipsrcaddrmask 0xffffffff
create filter rule entry ruleid 3 action drop
create filter subrule ip ruleid 3 subruleid 1 srcaddrcmp any dstaddrcmp any

Все замечательно работает.
Но, возникла необходимость сделать аналогичный фильтр для клиентов работающих по технологии PPPoE

По идее, самый простой и правильный путь - вот такой

create filter rule entry ruleid 5 action allow
create filter subrule ip ruleid 5 subruleid 1 srcipaddrfrom 172.29.130.5 srcaddrcmp eq dstaddrcmp any ipsrcaddrmask 0xffffffff transportHdr ethernet pppoe
create filter rule entry ruleid 9 action drop
create filter subrule ip ruleid 9 subruleid 1 srcaddrcmp any dstaddrcmp any transportHdr ethernet pppoe

Вроде все учтено - указывается что используется transportHdr ethernet pppoe

Не работает

Виктор Платов посоветовал использовать subrule generic
Вот что я наваял

create filter rule entry ruleid 777 action allow statsstatus enable
create filter subrule ppp ruleid 777 subruleid 1 prototypefrom 0x0021 prototypecmp eq
create filter subrule generic ruleid 777 subruleid 2 offsethdr ppp offset 12 mask 0xFFFFFFFF valuefrom 0xAC1D8205 gencmp eq

create filter rule entry ruleid 778 action drop statsstatus enable
create filter subrule ppp ruleid 778 subruleid 1 prototypefrom 0x0021 prototypecmp eq

Пояснения
Виктор предложил отбрасывать PPP IPCP с неверными ip адресами, но если анализировать ppp пакет по смещению, то будут анализироваться все ppp пакеты, как LCP так и IPCP. У одних по данному смещению будет находиться ip адрес, а у других нет. Будут блокироваться нужные пакеты.
С помощью 777 правила я отбираю по типу нужные ppp пакеты и по смещению проверяю ip.
778 отбрасывает все остальные ppp пакеты этого типа с другими ip.

Не работает Вот сомневаюсь правильно ли я смещение посчитал.
Need help!

To P10neer
Для чего Вам нужна привязка IP адреса к порту, если используется PPPoE и пользователи проходят аутентификацию по логину/паролю?
Пожалуйста обясните.
Если это действительно необходимо - напишите, будем думать.

_________________
С уважением, Давыдов Денис.

Все просто. Один пользователь приходит к другому, заимствует логин/пароль и у себя спокойно выходит с чужим логином/паролем.

С одной стороны это плюс, можно прийти к другу со своим логином и просидеть свои деньги у него, а вот с другой это большой минус.

Согласен. Не удобно.
Но почему не привязать к порту не IP пользователя, а MAC пользователя (например МAC интерфейса модема, которым пользуется пользователь).

_________________
С уважением, Гакало Алексей

Не гибко. Очень не гибко. Клиент может поменять без ведома оператора сетевую, модем и т.д.
И надо вручную отслеживать для каждого клиента момент подключения, находить мак и навешивать на порт. Если клиентов не один десяток - это каторга.

Такие проблемы решает Радиус. Для ПППоЕ сервера есть плагин для радиуса - с ним ПППоЕ будет авторизоваться на Радиусе.
А уж на том - хоть по времени суток можно разруливать

PPPoE итак авторизуется на радиусе. Поподробнее можно или ссылку?
Как с помощью радиуса привязать ip к порту DAS-3248? DAS-3248 должен тогда работать с радиусом.

Не получится. Вы не сможете однозначно идентифицировать порт DSLAMа, с которого приходят пакеты на радиус-сервер.
Такой функционал (Intermediate Agent), вставляющий в пакеты (в том числе PPPoE пакеты) метки об порте и устройстве агрегации (DSLAM) ,на основе которых сервер BRAS уже выделяет соотвествующий адрес ,
появится только в следущей прошивке, работа над которой идет сейчас полным ходом.

Кроме того, мне не совсем понятна изначальная идея привязки IP к порту для PPPoE протокола.
В случае PPPoE тут получается уже не привязка IP к порту, а учетных данных (логина пароля) к порту, а это уже Intermediate Agent ( о чем говорилось выше).

Потому как ,если вы даже напишите работающий фильтр на основе Generic фильтра, то это обеспечит вам лишь отбрасывание пакетов с неправильным IP адресом.
Но как вы обеспечите привязку (гарантированное выделение именно этому порту именно этого IP) на PPPoE сервере, если все что у вас есть идетнтифицирующего пользователя- это только учетные данные?

_________________
С уважением, Гакало Алексей

У клиента PPPoE выдается всегда один и тот же ip адрес (в нашем случае).
Соответственно отбрасывая пакеты с ненужными ip адресами, автоматически получаем привязку порта к ip адресу и соответственно к логину/паролю.
Практически Intermediate Agent даже с текущей прошивкой