D-Link • Просмотр темы - Вирус в сети mx.content-type.cn

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Вирус в сети mx.content-type.cn

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 4 из 7

[ Сообщений: 98 ]

На страницу Пред. 1, 2, 3, 4, 5, 6, 7 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

snark

Заголовок сообщения:

Добавлено: Пн ноя 17, 2008 17:39

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

для 3028 можно использовать че нить в духе этого:

Код:

# ARP
create access_profile                                packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0xffff0000 0x0 0x0   0xffffffff profile_id 1
config access_profile profile_id 1 add access_id 3 packet_content                      offset 12 0x08060000    offset 16 0x08000000 offset 28 0xa0b0c0d port 3 permit


# бродкасты
create access_profile                              ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 2
config access_profile profile_id 2 add access_id 3 ethernet destination_mac ff-ff-ff-ff-ff-ff port 3 deny


# IP
create access_profile                              ip source_ip_mask 255.255.255.255 profile_id 3
config access_profile profile_id 3 add access_id 3 ip source_ip      10.11.12.13     port 3 permit


# deny all
create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 4
config access_profile profile_id 4 add access_id 3 ethernet source_mac 00-00-00-00-00-00 port 3 deny

_________________
с уважением, БП

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Пн ноя 17, 2008 18:23

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Блин ...
Да всё, что угодно можно использовать ...
И как угодно написать под конкретную сеть и требование.

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Пн ноя 17, 2008 18:41

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

угу ... лично мне проще дать пример (чем больше примеров, тем, IMHO, проще понять), совет, направление в котором копать, если позволите так выразится, но вот только большинству подавай готовое решение под их сеть, задачи, пожелания (нужное подчеркнуть) ...

_________________
с уважением, БП

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Вт ноя 18, 2008 14:49

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

snark, у тебя последним правилом не режется активность между пользователями? Мне пришлось перейти к ip deny

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Вт ноя 18, 2008 15:08

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

Dyr писал(а):

snark, у тебя последним правилом не режется активность между пользователями?

я, если честно, просто не ставил себе такой задачи ... как Вы знаете это последнее правило режет вообще все подряд, а чтобы запретить перетоки трафика между портами одного свича, IMHO, кошернее использовать traffic segmentation, т.к. он не расходует правил ACL ... или я неверно понял мысль?

_________________
с уважением, БП

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Вт ноя 18, 2008 15:45

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Dyr писал(а):

snark, у тебя последним правилом не режется активность между пользователями? Мне пришлось перейти к ip deny

Нет не режется ... т.к. до этого нужное пермитиЦА ...
Там всё корректно ..
Можно видоизменить правила, оставив функционал ...
Это уже на вкус каждого.

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Ср ноя 19, 2008 19:09

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

Возможно, я чего-то не дотестил, но у меня отсутствовала вся активность между пользователями до тех пор, пока я не изменил последнее правило с ethernet на ip.

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Ср ноя 19, 2008 19:42

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Dyr
Ты неудачник ...

Вернуться наверх

kapa

Заголовок сообщения:

Добавлено: Ср ноя 19, 2008 20:05

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва

ну раз уж такой флуд пошёл - подскажите - что разрешается правилом из первого профиля?

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Ср ноя 19, 2008 20:10

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

kapa писал(а):

подскажите - что разрешается правилом из первого профиля?

тут много правил выкладывали, Вы о каком именно из правил говорите?

_________________
с уважением, БП

Последний раз редактировалось snark Ср ноя 19, 2008 20:14, всего редактировалось 1 раз.

Вернуться наверх

kapa

Заголовок сообщения:

Добавлено: Ср ноя 19, 2008 20:12

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва

snark писал(а):

kapa писал(а):

подскажите - что разрешается правилом из первого профиля?

тут много правил выкладывали, Вы о каком именно говорите?

прошу прощения
о Вашем последнем

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Ср ноя 19, 2008 20:22

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

kapa писал(а):

о Вашем последнем

там разрешается ARP со строго определенного IP адреса ... получается такая 2-я проверка - сначала разрешаем только ARP с конкретного адреса, а потом разрешается сам адрес, т.е. если адрес верный, а в ARP пакете указан иной адрес нежели тот который разрешен, то ARP пакет не удовлетворит правилу и будет отброшен последним правилом, соответственно сеть у человека работать не будет, т.к. не будет наложения ARP-IP-ARP ...
изначально я и разрешения IP адресов написал через РСМ, но т.к. на свиче есть ограничение на кол-во РСМ профилей на порт, а РСМ правила мне нужны для фильтрации РРРоЕ трафика, то увы, пришлосль отказаться от этого варианта в пользу обычного

_________________
с уважением, БП

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Ср ноя 19, 2008 21:03

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

На данный момент, мне кажется, наиболее оптимальный алгоритм касаемо разрешения конкретного адреса на конкретном порту:

acl - разрешаем arp запрос с данного ip
acl - разрешаем ip запрос с данного ip
acl - запрещаем всё.
port_security c режимом DeleteOnTimeout

snark, вам слово ....

Кстати, во втором профиле у тебя косяк ..

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Ср ноя 19, 2008 22:18

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

Daniil-B писал(а):

acl - разрешаем arp запрос с данного ip
acl - разрешаем ip запрос с данного ip
acl - запрещаем всё.
port_security c режимом DeleteOnTimeout

а чего говорить? порядок просто идеален

Daniil-B писал(а):

Кстати, во втором профиле у тебя косяк ..

в чем именно, если не секрет?

_________________
с уважением, БП

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Ср ноя 19, 2008 23:08

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

snark писал(а):

Daniil-B писал(а):

Кстати, во втором профиле у тебя косяк ..

в чем именно, если не секрет?

Нет ... всё верно ..
надо бросать пить ...
Но я бы написал немного по другому ...

Вернуться наверх

Страница 4 из 7

[ Сообщений: 98 ]

На страницу Пред. 1, 2, 3, 4, 5, 6, 7 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 47

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения