если Вы зарежете NetBIOS, бродкасты и вообще все что угодно на 25-м порту, то Вы тем самым зарежете трафик от Вашего сервера в сторону сети, а не трафик от сети к Вашему серверу ...

_________________
с уважением, БП

Вопрос, зачем я купил этот свитч?
Мне сказали, что с помощью ACL можно запретить не нужный трафик перед сервером..

Вам абсолютно правильно сказали - трафик фильтровать этим свичом можно!

_________________
с уважением, БП

Ну подскажите мне пожалуйста, как его настроить чтобы винда не получала трафик по этим портам и броадкаст, кроме dhcp( он на этом же сервере) и на одном порту, тк в этот свич воткнут и виндовый файл сервер и в сети нужны его шары.

Блин ...
Топологию сети в студию ...

Правила, приведённые мной и snark-ом верны и отработаны ...
Вы что-то делаете не так. не там прописываете или не туда втыкаете ...

У меня подозрение, что вы не учитываете тот момент, что коммутатор просматривает только входящие на порт пакеты.

Я не зря спросил: "Куда смотрит 25 порт?"
Если это порт сервера, то вы режете пакеты от сервера, а не к нему ...

Не заметил.
snark про это уже написал:


3526 - прекрасный тазик за свои деньги с огромным функционалом.

Сеть медная, те из этого свича идет 1 аплинк на общую герлянду. В 25 порт воткнут сервер с биллингом, dhcp. Файл-сервер воткнут в 26 порт. Те я подозреваю нужно зарезать тот порт куда смотрит основная гирлянда?

Мы написали лучше и то же самое, что сделает и эта фича ...
она вам пропишет четыре правила на базе packet_content ....

Если вы их просмотрите, то увидите идеальное сходство с тем, что мы вам предложили ...

У вас, походу, проблема с понимаем того, как вообще отрабатываются acl на коммутаторах.

На этом свиче так же сидят юзеры, которым тоже нужны шары файл-сервера...

в схеме:

если Вы отфильтруете NetBIOS трафик на "порт Х", то тем самым Вы закроете доступ к файлопомойке ...
мой Вам совет - уходите от NetBIOS в пользу FTP сейчас! быстро! решительно! иначе когда какой нить уро^W юзер в Вашей сети подхватит вирус распространяющийся через M$ сети - через мизерный промежуток времени Вы получите полностью инфецированную сеть по которой будет гулять стооолькооо паразитного трафика, что вся гирлянда Ваших мыльниц (у Вас же мыльницы, я прав?;)) будет просто тупо висеть ...

_________________
с уважением, БП

Мой вам лучший совет:
Убейте виндовую самбу на корню, как класс.
Запретите ip_broadcast { snark уже написал как }
Поднимите человеческий ftp сервер и не мучте юзверей и себя виндовыми убожествами.
Поднимите централизовано игровой сервер.

2 Swingstar
сэр, когда 2 разных человека с разницей в 20 секунд пишут Вам одно и то же я полагаю есть смысл прислушаться

_________________
с уважением, БП

To Swingstar:

Я Вам прошивку выслал.

День добрый товарищи.. имеем свитчик 3028 делаем пытаемся сделать через АЦЛ правила.

имеем кадр: АРП пакет
0000 ff ff ff ff ff ff 00 1d 92 32 d4 8d 08 06 00 01
0010 08 00 06 04 00 01 00 1d 92 32 d4 8d 0a 10 3b 0e
0020 00 00 00 00 00 00 0a 10 3b 42 00 00 00 00 00 00
0030 00 00 00 00 00 00 00 00 00 00 00 00

Согласно ману в ФАКе вставляем 4 байта хх хх хх хх, выкидываем хвостик!

0000 ff ff ff ff ff ff 00 1d 92 32 d4 8d хх хх хх хх
0010 08 06 00 01 08 00 06 04 00 01 00 1d 92 32 d4 8d
0020 0a 10 3b 0e 00 00 00 00 00 00 0a 10 3b 42

Нас интересуют байтики:
08 06 - Арп пакет
0a 10 3b 42 - ip адрес назначения (выделаем 44 байт "3b")

Делаем правила на 3028,
create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0 0xff000000 profile_id 1
config access_profile profile_id 1 add access_id 11 packet_content offset 16 0x0806 offset 44 0x3b port 19 deny

Расскажите где в синтаксисе ошибка ? Правила свитчик кушает, но они не работаю, вижу в снифере от пользователя пакеты как будто фильтра нету

Проблему из ничего раздули. Что мешает на машине с трафик инспектором закрыть ненужные порты самим трафик инспектором? или другим файрволом? А если еще и инспектор через прокси раздает интернет то вообще можно закрыть все, кроме нескольких необходимых портов.
А вообще вам правильно сказали, но что то мне подсказывает что вы не пойдете по этому пути - избавляйтесь от Windows Network, найдите другое решение.

Shkaf
Писали уже про обработку packet_content на этой моделе.

На нетегированных портах смещения пакета нет.
На тегированных - есть ..