Как разрешить юзеру на 1-ом порту коммутатора доступ только к определенному айпишнику в сети, а доступ на все остальные айпи заблокировать?
Прочитал мануал, ниче не понял.
Пробовал вот так:
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 91.142.0.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 0.0.0.0 destination_ip 91.142.0.0 port 1 deny
По моему разумению это типо я запретил выход на любые айпишники, юзера из подсети 91.142.0.0 подключенного в 1-й порт коммутатора. Но это не работает.
Как сделать правильно?

Вы перепутали source и destination, а точнее кто источник запроса.

_________________
С уважением,
Бигаров Руслан.

Сделал наоборот:
create access_profile ip source_ip_mask 91.142.0.0 destination_ip_mask 0.0.0.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 91.142.0.0 destination_ip 0.0.0.0 port 1 deny
Не работает. У компа на 1-м порту коммутатора айпишник 91,142,157,47.
Я уже пробовал и точные айпишники задавать в конфиг акцесс профайл и пробовал сорс 0.0.0.0 дестинэйшн 0.0.0.0 , бесполезно. Спокойно выхожу с компа в инет на любые сайты.
Может еще как-то надо применить эти настройки ACL, где-нибудь enable прописать? Или в чем причина.

На всякий случай говорю номер своей прошивки:
Firmware: Build 2.41.B03

и так, по порядку:
1) маски 91.142.0.0 не бывает
2) если хотите src или dst вобще любое, то нет никакого смысла указывать их вообще в профиле.

_________________
LiveComm

это не работает и не будет работать потому что Вы спутали 2 понятия - "адрес сети" и "маска сети", предполагая что Вам надо

то в Вашем случае надо было в 1-й раз (для всей сети) делать так:

а во 2-й раз (для адреса) - так:



но исходя из того что на этом форуме под вопросом:

в большинстве случаев подразумевается вопрос - "как на на определенном, конкретном порту разрешить пользоваться только одним определенным, конкретным адресом?"

основываясь на:

то в простом варианте - так:

но, IMHO более-менее правильно так (более подробно тут):

если же я не прав и Вам надо именно то о чем Вы спрашивали - см. 1-ю часть сообщения

_________________
с уважением, БП

Я уже запутался , как только не пробовал , не работает.
Еще раз объясню в чем суть.
Допустим определенный юзер воткнут в 1 порт коммутатора DES3028.
При поднятии пппое ему назначается белый айпишник из подсети 91.142.х.х
Когда у этого абонента закончатся деньги, надо закрыть ему доступ в интернет и оставить доступ только на один айпишник 91.142.158.9 (тут юзер может посмотреть свой баланс).
Как это сделать.

свичом это можно сделать, но "игра не стоит свеч, а результат - труда"(с)
удобнее, проще и правильнее всего это сделать непосредственно на РРРоЕ агрегаторе как? "элементарно, Ватсон!"(с) начнем с того что при авторизации Вы всегда можете отдать набор тех или иных RADIUS атрибутов, так вот, когда у юзера есть деньги Вы их отдаете одни, назовем их "нормальные атрибуты" ну или не отдаете - то не суть, а суть в том чтобы когда у юзера закончились $ надо ему выдать другой набор атрибутов, назовем их "атрибуты при минусе" ... что это дает? когда юзер коннектится он спокойно выходит в интернет как ни в чем ни бывало, а вот когда у него нет $ то РРРоЕ агрегатор, получив атрибуты при минусе вешает ему на интерфейс ACL который позволяет юзеру ходить только на статитстику ... как видите все очень просто и не надо заморачиваться с ACL, а в таком случае речь идет только о РСМ ACL

_________________
с уважением, БП

К сожалению я не совсем знаю что такое PCM ACL , где и как это прописывается.
Неужели то, о чем я спрашивал, так сложно реализовать обычными ACL на свиче?
И еще, как закрыть определённые tcp-udp-порты на входящий трафик на des3528.

Можно, только нужно правильно сформировать задачу и принимать во внимание, что коммутатор фильтрует только входящий трафик. И не PCM, а PCF.



create access_profile profile_id 1 packet_content_mask offset_chunk_1 9 0x0000ffff
config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x87 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x89 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x8A port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x8B port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x1BD port 1-24 deny

_________________
С уважением,
Бигаров Руслан.

это такие ACL в которых параметры указываются так, как они идут в пакете, т.е. в принципи можете зафильтровать все точо угодно


я полагаю что Вы так ничего и не поняли ладно, попробую объяснить ... насколько я понял Вы хотите сделать так:
1. у клиента есть деньги - клиент подключается, у него открываются любые странички
2 . у клиента нет денег - клиент подключается, у него странички не откываются кроме страницы статистики
так? полагаю что да, тогда, пожалуйста, поймите что в момент перехода из п.1 в п.2 Вы должны поменять логику работы ACL для конкретного порта, т.е. тем или иным образом залезть на свич и добавить/изменить в нем правила! понимаю если было IPoE, но когда речь идет о РРРоЕ, где все можно разрулить RADIUS-ом ... простите, но я не вижу смысла во всех этих телодвижениях ... не то чтобы я не хотел Вам помочь, просто я Вам предложил, IMHO, более правильное в этой ситуации решение, которое сам использую уже минимум лет 5:
1. у клиента есть деньги - клиент подключается, у него открываются любые странички
2 . у клиента нет денег - клиент подключается, у него, при запросе _любой_ страницы в инете открывается страничка с напоминаниме о том что у него нет денег и ссылкой на страницу статистики, как единственно доступную
и все это _без_ затрагивания свичей вообще!


PCM от packet_content_mask пошло, а так да, PCF

_________________
с уважением, БП

Попробовал скопипастить построчно приведенные Вами команды, получил ответ:
Knt-16/1-CO1-1:4#create access_profile profile_id 1 packet_content_mask offset_chunk_1 9 0x0000ffff
Command: create access_profile

Next possible completions:
ethernet ip packet_content_mask

Пробую дальше:
Knt-16/1-CO1-1:4#create access_profile packet_content_mask
Command: create access_profile packet_content_mask

Next possible completions:
offset_0-15 offset_16-31 offset_32-47 offset_48-63
offset_64-79
Knt-16/1-CO1-1:4#create access_profile packet_content_mask offset_0-15
Command: create access_profile packet_content_mask offset_0-15

Next possible completions:
<hex 0x0-0xffffffff>
что такое offset_0-15 и что вводить вместо <hex 0x0-0xffffffff>

Нашел ссыль http://www.dlink.ru/ru/faq/62/240.html , почитал...

Приведу пример закрытия порта на Edge-Core es3528m:
1.) создаем ACL: access-list ip extended firewall
2.) назначаем правила для этого ACL: deny any any destination-port 137
3.) и добавляем нужный(е) порт(ы) к этому ACL: int e 1/1-25
ip access-group firewall in
ВСЁ.

Длинк не ищет лёгких путей?

изучите документацию для начала - там всё есть. не обязательно использовать PCF.
PCF это очень мощный и полезный инструмент.

_________________
LiveComm