D-Link • Просмотр темы - DES-3200-28 revC1 ACL для firmware 4.32

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3200-28 revC1 ACL для firmware 4.32

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 4 из 5

[ Сообщений: 66 ]

На страницу Пред. 1, 2, 3, 4, 5 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Dyr

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Ср ноя 14, 2012 10:40

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

EvgenJman писал(а):

Для себя переделали все правила под PCF и теперь хватило одного access_profile с кучей правил которые для разных чанков еще и дополнительно используют mask на каждый чанк. Там удалось совместить: пропустить нужные протоколы, заблокировать броадкасты/мултикасты, потом для айпи закрыть порты (для тсп и удп разные), дхцп экранировать сервера, и отбрасывать исмп редиректы (пока нужно).

Один вопрос - КАК?!

Вернуться наверх

ya4ya

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Ср ноя 14, 2012 11:49

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56

Ну xBrowser привел пример чуть выше, примерно так же.

Вернуться наверх

SemNik

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Ср дек 05, 2012 13:39

Зарегистрирован: Пн дек 26, 2011 07:27
Сообщений: 39

извините конечно, не могли бы помочь создать PCF где бы использовался destination_mac, source_mac, ethernet_type, destination_ip icmp, source_ip

Вернуться наверх

ya4ya

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Чт дек 06, 2012 06:27

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56

В C ревизии нет.
Разделить на два профайла в одном destination_mac, source_mac, ethernet_type (лучше использовать обычные)
В другом ethernet_type, destination_ip, protocol, source_ip (использовать PCF)

Вернуться наверх

vrz

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Пт дек 07, 2012 08:54

Зарегистрирован: Ср ноя 07, 2012 10:30
Сообщений: 30

ya4ya писал(а):

Можете пример показать? Сталкивался со следующей проблемой:
создал правило PCF которое фильтрует по № vlan , ether_type , source_ip для коммутаторов 3526 и 3200 a1 и был удивлен, когда узнал, что 3200с1 не видит тегов в пакетах нетегированных портов в режиме фильтрации PCF. При использовании ethernet профиля - фильтрация по номерам vlan происходит. Хотелось бы разобраться как совместить 2 профиля.

Вернуться наверх

SemNik

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Пт дек 07, 2012 13:16

Зарегистрирован: Пн дек 26, 2011 07:27
Сообщений: 39

В этом то и проблема, мне надо сначала ip потом ethernet, затем снова ip и все закончить ethernet, в 3200 можно было все в один вместить, а тут ограничили( зачем только принцип PCF изменили в нвой ревизии

Вернуться наверх

TupbI4

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Пт дек 14, 2012 12:48

Зарегистрирован: Пт окт 19, 2007 00:55
Сообщений: 8

Дайте, пожалуйста ссылку на нормально рабочую прошивку 4.32 для DES-3200-26.
А то я уже извелся.
Или пришлите на мыло vp-tyrant@mail.ru, если не сложно

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Пт дек 14, 2012 13:25

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

viewtopic.php?f=2&t=92700

Вернуться наверх

Roma Bass

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Чт май 16, 2013 01:55

Зарегистрирован: Сб мар 31, 2012 20:21
Сообщений: 46

Здравствуйте. Помогите разобраться, пожалуйста, непонимаю как правильно составить PCF.

В обсуждениях написали следующее: "offset_chunk_1 6 0x00FF0000"

- почему это -- поле Protocol?
- что тут обозначает цифра "6"? я думаю, что смещение, но это подходит, если начинать отсчёт с 16-го байта, т.е. со второй строки 16-ричного представления пакета
- но тогда как в PCF добраться, например, к маку отправителя и полю EtherType?

Ещё нарыл -- "offset_chunk_1 3 0xFFFF - Тип кадра"(подозреваю, что подразумевается поле EtherType)
Как?!?!?!? Что тут обозначает "3"?

Фильтровал для интереса пакеты LoopDetect, чтобы добраться до Ethertype ставил смещение 12, работает. Почему в примере "3"?

Прошивка последняя, вчера ток скачал.

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Чт май 16, 2013 08:34

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Roma Bass
Про chunk, offset и pcf
http://www.dlink.ru/ru/faq/62/892.html

Вернуться наверх

lumen

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Пн май 27, 2013 13:33

Зарегистрирован: Ср дек 24, 2008 13:07
Сообщений: 137
Откуда: Жигулёвск

Хочется поднять старый вопрос:

Цитата:

Артем, хотелось бы получить два свободных профайла под свои нужды (т.е. что бы функционал ip_inspection в all или ipv4/ipv6 only не создавал доппрофайл(ы)).
Можно ли ожидать что это будет?
Если да, то ориентировочно когда?

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Пн май 27, 2013 15:01

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Изменений в текущей реализации ACL не будет.

Вернуться наверх

lumen

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Вт май 28, 2013 10:01

Зарегистрирован: Ср дек 24, 2008 13:07
Сообщений: 137
Откуда: Жигулёвск

А будет новая реализация acl?

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Вт май 28, 2013 10:35

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Нет

Вернуться наверх

lousx

Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32

Добавлено: Пн июн 17, 2013 14:31

Зарегистрирован: Вт фев 14, 2012 11:21
Сообщений: 99

Шлюз <----port9----dlink-des 3200(FW:4.35)----port8----> небольшой из сегментов.

Пусть:
Шлюз - 192.168.100.254/16
Все адреса в сегменте 192.168.222.0/16 192.168.223.0/16

Задача - aclом разрешить прохождение через 8 порт только адреса 192.168.222.xxx, 192.168.223.xxx

Учитывая, что маска у всех 16.

Код:

Access Profile Table

================================================================================
Profile ID: 3     Profile name: block  Type: IPv4

MASK on 
    Source IP       : 255.255.0.0

Available HW Entries : 253
--------------------------------------------------------------------------------
Rule ID : 1    (auto assign)    Ports: 8

Match on
    Source IP       : 192.168.222.0      Mask : 255.255.255.0

Action:
    Permit

--------------------------------------------------------------------------------
Rule ID : 2       Ports: 8

Match on
    Source IP       : 192.168.223.0      Mask : 255.255.255.0                   

Action:
    Permit

--------------------------------------------------------------------------------
Rule ID : 3    (auto assign)    Ports: 8

Match on
    Source IP       : 0.0.0.0            Mask : 0.0.0.0

Action:
    Deny

================================================================================

На стенде работает. правильно ли составлены правила?

Вернуться наверх

Страница 4 из 5

[ Сообщений: 66 ]

На страницу Пред. 1, 2, 3, 4, 5 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 58

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения