поправьте что не так. никак не пойму где ошибка.

create access_profile profile_id 1 ip udp destination_ip_mask 0.0.0.255 dst_port_mask ffff
config access_profile profile_id 1 add access_id 1 ip udp dst_port 137 ports 1:(1) deny
config access_profile profile_id 1 add access_id 2 ip udp dst_port 67 ports 1:(1) deny

===============================================
реультат снифера на 1 порту

> ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 96: vlan 104, p 0, ethertype IPv4, 169.254.241.111.137 > 169.254.255.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

> ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 346: vlan 104, p 0, ethertype IPv4, 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from

А вот это destination_ip_mask 0.0.0.255 Вы зачем указали? И за первым портом у Вас как раз тот свитч который не умеет DHCP Relay?

Т.е. нужно вот так:

create access_profile profile_id 1 ip udp dst_port_mask ffff
config access_profile profile_id 1 add access_id 1 ip udp dst_port 137 ports 1:(1) deny
config access_profile profile_id 1 add access_id 2 ip udp dst_port 67 ports 1:(1) deny

в данной ситуации можно обойтись, а хотябы теоретически можно указать дст_маску по типу *.*.*.255?



да. для него готовлю



если я правильно понимаю логику, то запретяться все удп пакеты на указанные порты, в том числе и юникаст. для решения моей ситуации, конечно, достаточно будет таких правил, но хотелось бы понять свои возможности по ацлам. есть ли способ скрестить dst_mac ff:ff:ff:ff:ff:ff и dst_port ffff в одном флаконе?

спасибо

Именно так. Можно и эти параметры одновременно использовать. Только учтите что в тех разрядах где в маске единицы (FF или 255) чтобы правило сработало должно быть полное совпадение со значениями в правиле, а там где нули может быть любое число. И правила естественно действуют только на входящий по порту трафик.

столько раз читал эту фразу на этом форуме, и попался на нее сам. ларчик просто открывался. повесил правило на исходящий порт.

спасибо.