D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

0.0.0.0

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 2

[ Сообщений: 27 ]

На страницу Пред. 1, 2

Предыдущая тема | Следующая тема

Автор

Сообщение

chaton

Заголовок сообщения:

Добавлено: Вс сен 05, 2010 12:32

Зарегистрирован: Сб авг 02, 2008 00:06
Сообщений: 129

а если в impb разрешить 0.0.0.0 а в ацл запретить. зафильтруется ли 0.0.0.0 адрес?

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Вс сен 05, 2010 22:07

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

используйте DHCP Relay и тогда Вам будет всеравно есть у Вас правила вида:

Код:

create access_profile                                        ethernet source_mac 00-00-00-00-00-00 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

на 3526 или правила

Код:

create access_profile                                        ip udp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip udp dst_port          67 port 1-24 permit

create access_profile                                        ethernet source_mac 00-00-00-00-00-00 profile_id 2
config access_profile profile_id 2 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

на 3028

_________________
с уважением, БП

Вернуться наверх

chaton

Заголовок сообщения:

Добавлено: Пн сен 06, 2010 00:20

Зарегистрирован: Сб авг 02, 2008 00:06
Сообщений: 129

дшцп не используется.
вопрос в том как правильнее закрыть 0.0.0.0 и 67-68 порты польностью?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пн сен 06, 2010 13:15

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Через ACL и правила будут работать совместно с IMPB.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

MsHOME

Заголовок сообщения:

Добавлено: Пн сен 06, 2010 17:59

Зарегистрирован: Вт май 16, 2006 13:02
Сообщений: 867
Откуда: Ukraine

Я честно не хочу создавать новую тему.
Но у меня ситуация на оборот.
Я хочу привязать ACL IP address клиента к порту, чтобы н икакой другой оттуда не вылез, мак адрес не интересует и чтобы DHCP ещё адреса выдавал.
Ибо если создать профиль запрещающий 0.0.0.0 то клиент не может получить адрес.

Вернуться наверх

neonman

Заголовок сообщения:

Добавлено: Пн сен 06, 2010 18:27

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

перед профилем 0.0.0.0 сделать профиль разрешающий 68 удп порт

Вернуться наверх

MsHOME

Заголовок сообщения:

Добавлено: Пн сен 06, 2010 20:44

Зарегистрирован: Вт май 16, 2006 13:02
Сообщений: 867
Откуда: Ukraine

Логично так как правила читаются с верху в низ.
Спасибо.
Типа так для уверенности ?

Код:

create access_profile ip udp src_port_mask 0xFFFF profile_id 10
config access_profile profile_id 10 add access_id 1 ip udp src_port 68 port 1-24 permit

Вернуться наверх

chaton

Заголовок сообщения:

Добавлено: Вт сен 07, 2010 01:36

Зарегистрирован: Сб авг 02, 2008 00:06
Сообщений: 129

т.е. если в имбп разрешить 0.0.0.0 и форвардинг дшцп пакетов,а в ацл создать такие правила:
create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00430000 0x0 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00440000 0x0 port 1-26 deny
create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id auto_assign ip source_ip 0.0.0.0 port 1-26 deny
то 0.0.0.0 и 67-68 порты будут фильтроваться?

Вернуться наверх

chaton

Заголовок сообщения:

Добавлено: Пт сен 10, 2010 13:27

Зарегистрирован: Сб авг 02, 2008 00:06
Сообщений: 129

никто не может дать ответ на пост выше? просто не совсем понимаю будет ли так работать

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт сен 10, 2010 14:11

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

У Вас задача, чтобы клиенты не использовали DHCP и IP 0.0.0.0?!

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

chaton

Заголовок сообщения:

Добавлено: Пт сен 10, 2010 20:16

Зарегистрирован: Сб авг 02, 2008 00:06
Сообщений: 129

именно такая задача! поначалу закрыл с помощью импб. но пользователей блочило, если проскакивал от них адрес 0.0.0.0.
как будут себя вести правила приведенные выше?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пн сен 13, 2010 16:56

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Клиенты будут получать настройки по DHCP Relay, а далее если придёт пакет с IP: 0.0.0.0, т о коммутатор его отбросит.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Страница 2 из 2

[ Сообщений: 27 ]

На страницу Пред. 1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 39

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения