и мне пжста

_________________
silvernet.ru

будьте добры описания параметров и мне

и хотел попросить помощи - формировал ли кто-то ACL по содержимому пакета, для того что бы в одно правило впихнуть и мак и айпи.

задача сделать что-то вроде того что делает ACL режим ipmb - но немного по своему.был бы признателен за пример или алгоритм.

Я себе сделал вот такой ACL, правда в массовое пользование не запустил, но сам сижу с ним, все работает и режется нормально. Может кто покритикует за одно.

1) Разрешаем DHCP запросы с проверкой правильности мака и порта: permit UDP src port = 68 dst port = 67

.1.3.6.1.4.1.171.12.9.1.3.1.2.10 x 000000000000FFFFFFFFFFFF00000000
.1.3.6.1.4.1.171.12.9.1.3.1.3.10 x 0000000000000000000000FF00000000
.1.3.6.1.4.1.171.12.9.1.3.1.4.10 x 000000000000FFFFFFFF000000000000
.1.3.6.1.4.1.171.12.9.1.3.1.7.10 i 4

.1.3.6.1.4.1.171.12.9.2.3.1.3.10.0 x 000000000000MACMACMACMAC00000000
.1.3.6.1.4.1.171.12.9.2.3.1.4.10.0 x 00000000000000000000001100000000
.1.3.6.1.4.1.171.12.9.2.3.1.5.10.0 x 00000000000000440043000000000000
.1.3.6.1.4.1.171.12.9.2.3.1.13.10.0 i 2
.1.3.6.1.4.1.171.12.9.2.3.1.14.10.0 x 80000000
.1.3.6.1.4.1.171.12.9.2.3.1.15.10.0 i 4

2) Запрещаем DHCP сервер для 1-24 портов: deny UDP src port = 67

.1.3.6.1.4.1.171.12.9.1.3.1.3.20 x 0000000000000000000000FF00000000
.1.3.6.1.4.1.171.12.9.1.3.1.4.20 x 000000000000FFFF0000000000000000
.1.3.6.1.4.1.171.12.9.1.3.1.7.20 i 4

.1.3.6.1.4.1.171.12.9.2.3.1.4.20.0 x 00000000000000000000001100000000
.1.3.6.1.4.1.171.12.9.2.3.1.5.20.0 x 00000000000000430000000000000000
.1.3.6.1.4.1.171.12.9.2.3.1.13.20.0 i 1
.1.3.6.1.4.1.171.12.9.2.3.1.14.20.0 x FFFFFF00
.1.3.6.1.4.1.171.12.9.2.3.1.15.20.0 i 4

3) Запрещаем 135 и 445 порты для всех портов свича: deny dst port = 135,445

.1.3.6.1.4.1.171.12.9.1.3.1.4.30 x 0000000000000000FFFF000000000000
.1.3.6.1.4.1.171.12.9.1.3.1.7.30 i 4

.1.3.6.1.4.1.171.12.9.2.3.1.5.30.0 x 000000000000000001bd000000000000
.1.3.6.1.4.1.171.12.9.2.3.1.13.30.0 i 1
.1.3.6.1.4.1.171.12.9.2.3.1.14.30.0 x FFFFFFF0
.1.3.6.1.4.1.171.12.9.2.3.1.15.30.0 i 4

.1.3.6.1.4.1.171.12.9.2.3.1.5.30.0 x 00000000000000000087000000000000
.1.3.6.1.4.1.171.12.9.2.3.1.13.30.0 i 1
.1.3.6.1.4.1.171.12.9.2.3.1.14.30.0 x FFFFFFF0
.1.3.6.1.4.1.171.12.9.2.3.1.15.30.0 i 4

4) Запрещаем 136-139 порты для всех портов свича: deny dst port = 136-139

.1.3.6.1.4.1.171.12.9.1.3.1.4.40 x 0000000000000000FFF8000000000000
.1.3.6.1.4.1.171.12.9.1.3.1.7.40 i 4

.1.3.6.1.4.1.171.12.9.2.3.1.5.40.0 x 00000000000000000088000000000000
.1.3.6.1.4.1.171.12.9.2.3.1.13.40.0 i 1
.1.3.6.1.4.1.171.12.9.2.3.1.14.40.0 x FFFFFFF0
.1.3.6.1.4.1.171.12.9.2.3.1.15.40.0 i 4

5) Разрешаем ARP запросы с проверкой MAC-IP на порту

.1.3.6.1.4.1.171.12.9.1.3.1.2.50 x 000000000000FFFFFFFFFFFF00000000
.1.3.6.1.4.1.171.12.9.1.3.1.3.50 x FFFFFFFFFFFFFFFF0000FFFFFFFFFFFF
.1.3.6.1.4.1.171.12.9.1.3.1.4.50 x FFFFFFFF000000000000000000000000
.1.3.6.1.4.1.171.12.9.1.3.1.7.50 i 4

.1.3.6.1.4.1.171.12.9.2.3.1.3.50.0 x 000000000000MACMACMACMAC00000000
.1.3.6.1.4.1.171.12.9.2.3.1.4.50.0 x 08060001080006040000MACMACMACMAC
.1.3.6.1.4.1.171.12.9.2.3.1.5.50.0 x IPIPIPIP000000000000000000000000
.1.3.6.1.4.1.171.12.9.2.3.1.13.50.0 i 2
.1.3.6.1.4.1.171.12.9.2.3.1.14.50.0 x 80000000
.1.3.6.1.4.1.171.12.9.2.3.1.15.50.0 i 4

6) По желанию - запрещаем бродкасты:

.1.3.6.1.4.1.171.12.9.1.3.1.2.60 x FFFFFFFFFFFF00000000000000000000
.1.3.6.1.4.1.171.12.9.1.3.1.7.60 i 4

.1.3.6.1.4.1.171.12.9.2.3.1.3.60.0 x FFFFFFFFFFFF00000000000000000000
.1.3.6.1.4.1.171.12.9.2.3.1.13.60.0 i 1
.1.3.6.1.4.1.171.12.9.2.3.1.14.60.0 x 80000000
.1.3.6.1.4.1.171.12.9.2.3.1.15.60.0 i 4

7) Разрешаем IP пакеты с правильными src MAC и src IP

.1.3.6.1.4.1.171.12.9.1.3.1.2.70 x 000000000000FFFFFFFFFFFF00000000
.1.3.6.1.4.1.171.12.9.1.3.1.3.70 x FFFF000000000000000000000000FFFF
.1.3.6.1.4.1.171.12.9.1.3.1.4.70 x FFFF0000000000000000000000000000
.1.3.6.1.4.1.171.12.9.1.3.1.7.70 i 4

.1.3.6.1.4.1.171.12.9.2.3.1.3.70.0 x 000000000000MACMACMACMAC00000000
.1.3.6.1.4.1.171.12.9.2.3.1.4.70.0 x 0800000000000000000000000000IPIP
.1.3.6.1.4.1.171.12.9.2.3.1.5.70.0 x IPIP0000000000000000000000000000
.1.3.6.1.4.1.171.12.9.2.3.1.13.70.0 i 2
.1.3.6.1.4.1.171.12.9.2.3.1.14.70.0 x 80000000
.1.3.6.1.4.1.171.12.9.2.3.1.15.70.0 i 4

Запрещаем все:

.1.3.6.1.4.1.171.12.9.1.3.1.2.80 x 00000000000000000000000000000000
.1.3.6.1.4.1.171.12.9.1.3.1.7.80 i 4

.1.3.6.1.4.1.171.12.9.2.3.1.3.80.0 x 00000000000000000000000000000000
.1.3.6.1.4.1.171.12.9.2.3.1.13.80.0 i 1
.1.3.6.1.4.1.171.12.9.2.3.1.14.80.0 x 80000000
.1.3.6.1.4.1.171.12.9.2.3.1.15.80.0 i 4

Строчки в каждой группе нужно отправлять через один snmpset.
х 80000000 - это номер порта, к которому привязка. (в данном случае первый)

Все правила разбиваются на 3 группы:
1) Маски и правила фильтрации DHCP и NetBios - заносятся сразу на свич
2) Правила 6 и 8 включаются на порт, с которого нужно выпускать только "разрешенных"
3) правила, содержащие MAC и IP добавляются по мере добавления разрешенных пользователей.

Вот спасибо, я вчера до конца так и не разобрался - теперь все стало ясно %) сейчас только к биллингу прикручу и вуаля хорошо что логика вся еще раньше под IPMB была написана.

Кому для каких серий выслать?

Мне для 3028

а мне на 3028, 3526 и 3627g

а это собственно не нужно... даже лишнее
.1.3.6.1.4.1.171.12.9.1.3.1.3.20 x 0000000000000000000000FF00000000

кроме того DHCP может работать и по TCP насколько я знаю... посему лучше не указывать UDP. тобишь всего-то вот так для фильтрации DHCP серверов:

.1.3.6.1.4.1.171.12.9.1.3.1.4.20 x 000000000000FFFF0000000000000000
.1.3.6.1.4.1.171.12.9.1.3.1.7.20 i 4

.1.3.6.1.4.1.171.12.9.2.3.1.5.20.0 x 00000000000000430000000000000000
.1.3.6.1.4.1.171.12.9.2.3.1.13.20.0 i 1
.1.3.6.1.4.1.171.12.9.2.3.1.14.20.0 x FFFFFF00
.1.3.6.1.4.1.171.12.9.2.3.1.15.20.0 i 4

к слову спасибо за подсказку как добавлять правила на группу портов я как-то и не задумывался раньше что это логичней чем на все порты по очереди .

и по поводу фильтра нетбиоса и смб, а можно ли одним фильром отфильтровать порты 135-139, и еще одним 445. это позволило бы сэкономить еще одно правило... я пока не вник в суть - посему и вопросы %)

67 TCP действительно лучше закрыть, просто никогда не сталкивался чтоб DHCP работал по TCP.

136-139 задаются не интервалом, а маской. Проверяются первые 14 бит из 16 бит поля порта. Если проверять 13 бит закроются 136-143, а 12 - уже 128-143 порты.

Я Вам описание параметров выслал.

такс а у меня тихое помешательство.

пингаем машину на первом порту 3526 прошивка 6.00.B07 - все ок, пингается.

создаю профайл вот так

$SNMPSET $switchip \
1.3.6.1.4.1.171.12.9.1.3.1.2.$p x 000000000000ffffffffffff00000000 \
1.3.6.1.4.1.171.12.9.1.3.1.3.$p x ffff000
000000000000000000000ffff \
1.3.6.1.4.1.171.12.9.1.3.1.4.$p x ffff0000000000000000000000000000 \
1.3.6.1.4.1.171.12.9.1.3.1.7.$p i 4

создаю разрешающее правило ip-mac по типу вот так:

$snmpset $switchip \
1.3.6.1.4.1.171.12.9.2.3.1.3.$p.$n x 000000000000"$mac_h"00000000 \
1.3.6.1.4.1.171.12.9.2.3.1.4.$p.$n x 0000000000000000000000000000"$ip_h1" \
1.3.6.1.4.1.171.12.9.2.3.1.5.$p.$n x "$ip_h2"0000000000000000000000000000 \
1.3.6.1.4.1.171.12.9.2.3.1.13.$p.$n i 2 \
1.3.6.1.4.1.171.12.9.2.3.1.14.$p.$n x $port \
1.3.6.1.4.1.171.12.9.2.3.1.15.$p.$n i 4"

(все вродь понятно - $ip_h1 и 2 - это шестнадцатеричное значения айпишки разбитое на два куска)

и общезапрещающий профайл

$SNMPSET $switchip \
1.3.6.1.4.1.171.12.9.1.3.1.2.200 x 00000000000000000000000000000000 \
1.3.6.1.4.1.171.12.9.1.3.1.7.200 i 4

теперь я создаю правило в этом профайле
$SNMPSET $switchip \
1.3.6.1.4.1.171.12.9.2.3.1.3.200.0 x 00000000000000000000000000000000 \
1.3.6.1.4.1.171.12.9.2.3.1.13.200.0 i 1 \
1.3.6.1.4.1.171.12.9.2.3.1.14.200.0 x 80000000 \
1.3.6.1.4.1.171.12.9.2.3.1.15.200.0 i 4


начинается самое интересное, пинг как шел так и идет.
тоесть все нормально, правила работают как нужно. разрешающее IP-MAC на порту перед обще-запрещающим. и вот через минут пять - пинг пропадает %(((( как только удаляю последнее запрещающее правило - сразу же хост снова пингается без проблем....

на свитче так же еще есть привязки в ARP режиме...
хочу заметить что в разрешающих правилах не указывал протокол.

где моя ошибка? или какие-то функции свитча работают ДО ACL ? я же так понимаю что через ACL должен проходить каждый пакет... чм обосновано запоздалое срабатывание? при том что в целом вообще ничего срабатывать не должно, есть разрешающее правило перед запрещающим - хост должен работать...

Пришлите пожалуйста почтой схему сети с указанием портов подключения, конфиг устройства и это Ваше описание.

выслал что-то я уже либо банальных ошибок не вижу, либо схожу с ума. хоть у кого-то были хотя бы намеки на что-то такое ?

Завтра попробуем разобраться в ваших настройках.

спасибо за оперативность

доуточняю - при фильтрации каким либо правилом определенного хоста, разве я долен видеть мак этого хоста в FDB и выхлоп на сислог от IpMB?

я даже clear arptable делаю - все равно мак который должен быть отфильтрован появляется....

Я так понимаю если ACL работает первее всех (а так оно и должно быть) - то я не должен видеть ни мака заблокированных хостов ни записей в логе\сислоге\трапов с этим маком.

или я не прав?