Вопрос наверно Шарку (привет кстати).
На посёлок стоит 3028. ЗА ним куча мыльниц подключенных к портам 1-23 (кризис, да и воруют там часто коммутаторы пока нет возможности управляемые расставить).
24-ый порт магистральный.
У клиентов только TCP/IP. Адреса для клиентов 192.168.2.xxx прописываются вручную монтажниками.
192.168.2.1 адрес шлюза для клиентов.
Сейчас прописанны правила:
Код:
create access_profile ip tcp dst_port 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip tcp dst_port 53 port 1-28 deny
config access_profile profile_id 5 add access_id 2 ip tcp dst_port 135 port 1-28 deny
config access_profile profile_id 5 add access_id 3 ip tcp dst_port 139 port 1-28 deny
config access_profile profile_id 5 add access_id 4 ip tcp dst_port 445 port 1-28 deny
config access_profile profile_id 5 add access_id 5 ip tcp dst_port 2869 port 1-28 deny
config access_profile profile_id 5 add access_id 6 ip tcp dst_port 5000 port 1-28 deny
create access_profile ip udp dst_port 0xFFFF profile_id 6
config access_profile profile_id 6 add access_id 1 ip udp dst_port 67 port 1-28 deny
config access_profile profile_id 6 add access_id 2 ip udp dst_port 68 port 1-28 deny
config access_profile profile_id 6 add access_id 3 ip udp dst_port 137 port 1-28 deny
config access_profile profile_id 6 add access_id 4 ip udp dst_port 138 port 1-28 deny
config access_profile profile_id 6 add access_id 5 ip udp dst_port 445 port 1-28 deny
config access_profile profile_id 6 add access_id 6 ip udp dst_port 1900 port 1-28 deny
create access_profile ip source_ip 255.255.255.255 profile_id 8
config access_profile profile_id 8 add access_id 1 ip source_ip 192.168.2.1 port 13-23 deny
create access_profile ip source_ip 255.255.255.0 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.2.0 port 13-23 permit rx_rate no_limit
create access_profile ip source_ip 0.0.0.0 profile_id 12
config access_profile profile_id 12 add access_id 1 ip source_ip 0.0.0.0 port 13-23 deny
disable cpu_interface_filtering
Пробовал IP-MAC-Binding но во первых он не адекватно работает когда за портом гирлянда мыльниц, без какой либо записи в лог блокирует доступ клиентам. (причину так и не выяснили). Во вторых клиенты постоянно меняют себе сетевые карты.
Что ещё рекомендуют уважаемые гуру прописать в фильтра против "Митников" и левого трафика. :)
клиентам нужен только интернет авторизация через агента по UDP.
Вход
Регистрация
FAQ
Поиск
