faq обучение настройка
Текущее время: Чт июл 10, 2025 23:32

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 66 ]  На страницу Пред.  1, 2, 3, 4, 5  След.
Автор Сообщение
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Чт окт 18, 2012 20:27 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Пффф, что за новость, где ошибка? фильтрую udp src port 67

create access_profile profile_id 4 profile_name 4 packet_content_mask offset_chunk_1 6 0xFF0000 offset_chunk_2 7 0xFFFFFFFF offset_chunk_3 8 0xFFFFFFFF offset_chunk_4 9 0xFFFFFFFF
config access_profile profile_id 4 add access_id 145 packet_content offset_chunk_1 0x110000 mask 0xFFFF0000 offset_chunk_4 0x430000 mask 0xFFFF0000 port 28 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пт окт 19, 2012 14:15 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Ну помогите кто нибудь, горит :)
Обычный IP, не PCF, в том же 4 профайле, режет на ура, где то ошибся, что-то не правельно посчитал...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Вт окт 30, 2012 09:58 
Не в сети

Зарегистрирован: Пт фев 04, 2011 20:31
Сообщений: 14
ya4ya писал(а):
Пффф, что за новость, где ошибка? фильтрую udp src port 67

create access_profile profile_id 4 profile_name 4 packet_content_mask offset_chunk_1 6 0xFF0000 offset_chunk_2 7 0xFFFFFFFF offset_chunk_3 8 0xFFFFFFFF offset_chunk_4 9 0xFFFFFFFF
config access_profile profile_id 4 add access_id 145 packet_content offset_chunk_1 0x110000 mask 0xFFFF0000 offset_chunk_4 0x430000 mask 0xFFFF0000 port 28 deny


Вот рабочий пример блокировки:
Код:
create access_profile profile_id 1 profile_name PCM packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000 offset_chunk_3 6 0x00ff0000 offset_chunk_4 9 0x0000ffff

offset_chunk_1 3 0xFFFF - Тип кадра, это эквивалент 0x0000FFFF
offset_chunk_2 4 0xFF0000 - Тут я указываю какой тип PPPoE
offset_chunk_3 6 0x00FF0000 - Тип IP протокола
offset_chunk_4 9 0x0000FFFF - В данном случае 0x0000FFFF это dst IP port, тогда как 0xFFFF0000 это src IP port

Код:
config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x8863 offset_chunk_2 0x70000 port 1-24 deny

PADO блок
Код:
config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_3 0x60000 offset_chunk_4 0x1BD port 1-24 deny

TCP(0x60000) dst port 445 (0x1BD) block


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Ср окт 31, 2012 22:43 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
dst port тоже на ура режу, а вот src на примере 67ого не могу.
Пробовал хоть 0x430000 mask 0xFFFF0000 хоть 0x43 mask 0xFFFF0000


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Чт ноя 01, 2012 08:50 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Есть у кого нибудь рабочий пример PCF на блокировку src udp port 67 на клиентских портах?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пт ноя 02, 2012 08:03 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
А чем, собственно, не устраивает функционал DHCP Server Screening? В чем необходимость использовать для этих целей PCF?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пт ноя 02, 2012 08:45 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Ну вот, собственно все и забылось...
Проблема в том что функционал DHCP Screening на данный момент требует отдельный профиль и в совокупности с IMPBv4 оставляет (помимо первых двух профелей) только один.
Первый два профиля не устраивают viewtopic.php?p=832763#p832763

Под наши нужды на C1 с использованием PCF уместились в два профиля. Второй создать не можем, решено отказаться от DHCP Screening просто зафильтровав в PCF необходимое. Без DHCP Screening'а создаем два профиля...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пт ноя 02, 2012 09:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Простите, но за последнее время по acl выходит полный сумбур.
Пришлите, пожалуйста, мне на почту конкретное описание, что и в каких ситуациях не работает, почему не получается использовать DHCP Screening - и какие проблемы всплывают при его включении. Буду смотреть и писать в ШК наши вопросы.
Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пт ноя 02, 2012 10:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
"На почту" - все-таки значит "на почту", а не в личные сообщения... Это на будущее.
По поводу arp - привожу документ. Рассматриваем только данный конкретный случай с arp. Если проблема с другими ethertype - значит, описываем проблемы с другими ethertype. Как я уже говорил, описания системных acl нам не предоставляют, и поэтому каждый конкретный случай рассматривать будем отдельно.

Ситуацию с DHCP Screening, 4м профилем и src udp 67 проверю и отпишу по результату.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пт ноя 02, 2012 11:55 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
У вас ошибка в PCF, нужно вот так:
Код:
create access_profile profile_id 4 profile_name 4 packet_content_mask offset_chunk_1 6 0xFF0000 offset_chunk_2 7 0xFFFFFFFF  offset_chunk_3 8 0xFFFFFFFF offset_chunk_4 9 0xFFFFFFFF
config access_profile profile_id 4 add access_id 145 packet_content offset_chunk_1 0x110000 mask 0xFF0000 offset_chunk_4 0x430000 mask 0xFFFF0000 port 1-20 deny

отличия - offset_chunk_1 : 6 value : 0x00110000 Mask : 0xFFFF0000 нужно было заменить на 00.

По поводу Server screening и невозможности создания профилей - приведите, пожалуйста, все команды, введенные на пустой конфиг, приводящие к такому результату.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Ср ноя 07, 2012 17:02 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Artem Kolpakov писал(а):
У вас ошибка в PCF, нужно вот так:
Код:
create access_profile profile_id 4 profile_name 4 packet_content_mask offset_chunk_1 6 0xFF0000 offset_chunk_2 7 0xFFFFFFFF  offset_chunk_3 8 0xFFFFFFFF offset_chunk_4 9 0xFFFFFFFF
config access_profile profile_id 4 add access_id 145 packet_content offset_chunk_1 0x110000 mask 0xFF0000 offset_chunk_4 0x430000 mask 0xFFFF0000 port 1-20 deny

отличия - offset_chunk_1 : 6 value : 0x00110000 Mask : 0xFFFF0000 нужно было заменить на 00.

По поводу Server screening и невозможности создания профилей - приведите, пожалуйста, все команды, введенные на пустой конфиг, приводящие к такому результату.

Охохоюшки... да спасибо, работает...

По поводу screening...
Цитата:
config filter dhcp_server ports 20 state enable
Success.
config address_binding dhcp_snoop max_entry ports 20 limit 3
Success.
config address_binding ip_mac ports 20 stop_learning_threshold 10
Success.
config address_binding ip_mac ports 20 protocol ipv4
Success.
config address_binding ip_mac ports 20 ip_inspection enable
Success.
config address_binding ip_mac ports 20 arp_inspection loose
Success.
create access_profile profile_id 3 profile_name 3 ethernet vlan
Success.

create access_profile profile_id 4 profile_name 4 ip vlan
No more hardware resource for this operation.

Т.е. отказываемся либо от impb либо от dhcp скрининга - четвертый профайл создается...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Чт ноя 08, 2012 10:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
ya4ya
Я уточню этот момент в ШК. Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Чт ноя 08, 2012 17:48 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Мдя. Сегодня наконец собрался перевести все C1 на новый ACL...
К моему удивлению, не получилось. Как оказалось, по крайней мере в последних двух (B005,B006) DHCP скрининг вообще не играет никакой роли на количество профайлов в ACL.
Проблема в следующем на дефолтном конфиге:
Код:
config address_binding ip_mac ports 20 ip_inspection enable
Success.

create access_profile profile_id 3 profile_name 3 ethernet vlan
No more hardware resource for this operation.
create access_profile profile_id 4 profile_name 4 ip vlan
No more hardware resource for this operation.

Смысл в том что ip_inspection при установленном по умолчании "config address_binding ip_mac ports 20 protocol all" создает два профайла IMPBv4 и IMPBv6 которые не дают создавать пользовательские профайлы, соответственно если используем "config address_binding ip_mac ports 20 protocol ipv4" получаем только один пользовательский профайл.
Код:
config address_binding ip_mac ports 20 ip_inspection enable
Success.
create access_profile profile_id 3 profile_name 3 ethernet vlan
Success.

create access_profile profile_id 4 profile_name 4 ip vlan
No more hardware resource for this operation.

Понятно что отказаться от ip inspection не вариант...
Как быть?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пт ноя 09, 2012 08:29 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
ya4ya писал(а):
Смысл в том что ip_inspection при установленном по умолчании "config address_binding ip_mac ports 20 protocol all" создает два профайла IMPBv4 и IMPBv6 которые не дают создавать пользовательские профайлы, соответственно если используем "config address_binding ip_mac ports 20 protocol ipv4" получаем только один пользовательский профайл.

Так и есть.
Под ipv6 используется еще один профайл, и если не указать ipv4 - он будет использован. Если указать ipv4 - он будет освобожден.

Сейчас ведется активное обсуждение этого поведения с разработчиками.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пт ноя 09, 2012 14:49 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Артем, хотелось бы получить два свободных профайла под свои нужды (т.е. что бы функционал ip_inspection в all или ipv4/ipv6 only не создавал доппрофайл(ы)).

Можно ли ожидать что это будет?
Если да, то ориентировочно когда?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 66 ]  На страницу Пред.  1, 2, 3, 4, 5  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 28


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB