1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб ноя 01, 2025 00:15

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 1 из 1
  [ Сообщений: 10 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
lev_spb
 Заголовок сообщения: access_profile и TCP порты
СообщениеДобавлено: Ср май 18, 2005 20:49 
Не в сети

Зарегистрирован: Ср апр 27, 2005 10:02
Сообщений: 13
Откуда: SPb
DGS-3312SR+DEM-540 (FW v3-01B14)
DES-3226S+DES-332GS (FW v4-02B26)
Все это объединено в стек.

Хотел настроить ACL и для начала сделал вот так:

create access_profile ethernet ethernet_type profile_id 10
config access_profile profile_id 10 add access_id 1 ethernet ethernet_type 0x800 permit
config access_profile profile_id 10 add access_id 2 ethernet ethernet_type 0x806 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 11
config access_profile profile_id 11 add access_id 1 ethernet source_mac 00-00-00-00-00-00 deny

Захотелось закрыть 25 и 110 порты вот таким образом:
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 9
config access_profile profile_id 9 add access_id 1 ip tcp dst_port 25 deny
config access_profile profile_id 9 add access_id 2 ip tcp dst_port 110 deny

После команды:
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 9
сеть умерла :(
После перезагрузки стека следов от 9-го правила не осталось
Эксперементировать что-то больше не хочется.
Подскажите как закрыть опрелеленные TCP порты на всех портах стека.
Вернуться наверх
 Профиль  
 
Козик Павел
 Заголовок сообщения:
СообщениеДобавлено: Чт май 19, 2005 07:56 
Не в сети
Модератор
Модератор

Зарегистрирован: Пн авг 18, 2003 11:30
Сообщений: 2986
Откуда: D-Link, Екатеринбург
Что значит сеть умерла? Перестали ходить пакеты?
В вашем примере есть только одно запрещающее правило (profile_id 11 add access_id 1), очевидно оно вам и мешает. Что это правило по вашей задумке должно делать?
profile_id 9 здесь совершенно не при чем.
Вернуться наверх
 Профиль  
 
lev_spb
 Заголовок сообщения: access_profile и TCP порты
СообщениеДобавлено: Чт май 19, 2005 08:29 
Не в сети

Зарегистрирован: Ср апр 27, 2005 10:02
Сообщений: 13
Откуда: SPb
Да перестали ходить пакеты.
create access_profile ethernet ethernet_type profile_id 10
config access_profile profile_id 10 add access_id 1 ethernet ethernet_type 0x800 permit
config access_profile profile_id 10 add access_id 2 ethernet ethernet_type 0x806 permit
эти правила разрешают TCP и ARP

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 11
config access_profile profile_id 11 add access_id 1 ethernet source_mac 00-00-00-00-00-00 deny
это правило запрещает все остальное.
вот я и хотел перед разрешаюшими правилами поставить запрет на пакеты TCP с портами 25 и 110
Но после команды
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 9
Перестали ходить пакеты
Вернуться наверх
 Профиль  
 
lev_spb
 Заголовок сообщения: access_profile и TCP порты
СообщениеДобавлено: Чт май 19, 2005 08:30 
Не в сети

Зарегистрирован: Ср апр 27, 2005 10:02
Сообщений: 13
Откуда: SPb
Правила 10 и 11 работают как и предпологалось
Вернуться наверх
 Профиль  
 
lev_spb
 Заголовок сообщения: access_profile и TCP порты
СообщениеДобавлено: Чт май 19, 2005 08:34 
Не в сети

Зарегистрирован: Ср апр 27, 2005 10:02
Сообщений: 13
Откуда: SPb
А вобщем то хотелось сделать вот как:
1 Запретить все протоколы кроме TCP и ARP
2 Запретить хождение пакетов TCP с портами 25 и 110
Вернуться наверх
 Профиль  
 
Козик Павел
 Заголовок сообщения:
СообщениеДобавлено: Чт май 19, 2005 10:54 
Не в сети
Модератор
Модератор

Зарегистрирован: Пн авг 18, 2003 11:30
Сообщений: 2986
Откуда: D-Link, Екатеринбург
Глюк. Я его нашел, сейчас пробую найти способ решения.
Вернуться наверх
 Профиль  
 
lev_spb
 Заголовок сообщения: access_profile и TCP порты
СообщениеДобавлено: Чт май 19, 2005 11:02 
Не в сети

Зарегистрирован: Ср апр 27, 2005 10:02
Сообщений: 13
Откуда: SPb
ОК жду
Вернуться наверх
 Профиль  
 
Козик Павел
 Заголовок сообщения:
СообщениеДобавлено: Чт май 19, 2005 11:41 
Не в сети
Модератор
Модератор

Зарегистрирован: Пн авг 18, 2003 11:30
Сообщений: 2986
Откуда: D-Link, Екатеринбург
Временный выход из глюка простой - создать профили по мере роста номера профиля, т.е. сперва 9, затем 10 и 11.
По крайней мере не падает, и фильтрует так, как вам нужно - оставляет только IP и ARP, запрещая все, включая 25 и 110 порты.
Вернуться наверх
 Профиль  
 
lev_spb
 Заголовок сообщения: access_profile и TCP порты
СообщениеДобавлено: Чт май 19, 2005 12:14 
Не в сети

Зарегистрирован: Ср апр 27, 2005 10:02
Сообщений: 13
Откуда: SPb
Спасибо попробую.
Вернуться наверх
 Профиль  
 
lev_spb
 Заголовок сообщения: access_profile и TCP порты
СообщениеДобавлено: Пт май 20, 2005 20:10 
Не в сети

Зарегистрирован: Ср апр 27, 2005 10:02
Сообщений: 13
Откуда: SPb
Да если очистить все правила и добавить профили заново то все работает. Правила в профили потом добавляются без проблем.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 1 из 1
  [ Сообщений: 10 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 42

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB