D-Link • Просмотр темы - Ограничение доступа абонентам

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Ограничение доступа абонентам - ACL на 3028

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 30 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

neonman

Заголовок сообщения: Ограничение доступа абонентам - ACL на 3028

Добавлено: Вт сен 29, 2009 19:53

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

Помогите пожайлуста организовать ограничение для неплательщиков только до личного кабинета (доступ на кабинет по днс-имени), что-то никак не могу осилить, да и судя по всему могу не уложиться в количество ацлей (я правильно понял что на весь 3028 всего 256 правил?), пытался сделать так:

Код:

create access_profile  ip  udp src_port 0xFFFF    profile_id 1
config access_profile profile_id 1  add access_id 1  ip  udp src_port 67        port 25-28 permit
config access_profile profile_id 1  add access_id 2  ip  udp src_port 67        port 1-24 deny
create access_profile  ip  udp dst_port 0xFFFF    profile_id 4
config access_profile profile_id 4  add access_id 1  ip  udp dst_port 53        port 1-24 permit
create access_profile  ip  source_ip 255.255.255.255  profile_id 5
config access_profile profile_id 5  add access_id 1  ip  source_ip 10.19.48.254     port 5 permit
create access_profile  ip  destination_ip 255.255.255.255 tcp dst_port 0xFFFF    profile_id 6
config access_profile profile_id 6  add access_id 1  ip  destination_ip 10.0.0.11       tcp dst_port 80        port 1-24 permit
create access_profile  ip  source_ip 0.0.0.0          profile_id 7
config access_profile profile_id 7  add access_id 1  ip  source_ip 0.0.0.0          port 1-24 deny

1 - запрет левых дхцп, 2,3 - arp_spoofing_prevention, 4 - разрешаем весь удп на 53 порт, 5 - тут абоненты которым разрешен доступ, 6 - доступ на айпишку личного кабинета, 7 - запрет всему и вся

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Вт сен 29, 2009 20:02

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

а зачем два профиля на запрет и разрешение ? создать один профиль с маской 0.0.0.0 и заносить правила на нужные порты. там где надо deny, там где не надо - permit.

_________________
LiveComm

Вернуться наверх

neonman

Заголовок сообщения:

Добавлено: Вт сен 29, 2009 20:07

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

да оно пока и так не особо работает, для начала получить бы просто работающую конструкцию, а там уже и оптимизировать можно

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт сен 29, 2009 22:33

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Какая версия прошивки и что конкретно не работает? В этой серии правил 256 но они централизованные. Во-первых и профилей 256, а-во-вторых при назначении одного правила на все 28! портов используется только одно правило из списка.

Вернуться наверх

neonman

Заголовок сообщения:

Добавлено: Вт сен 29, 2009 22:50

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

Прошивка 2.31-b03, не работает даже банальный nslookup, хотя udp 53 разрешен, при прописывании айпишника разрешенного клиента - доступа тоже нет.

То есть получается 256 правил на профиль? или всего 256 правил? Кстати, если я добавлял одно правило сразу на port 1-24 - то занималось всё таки 24 правила и это хорошо видно по sh acc:

Код:

Total Profile Entries: 7
Total Used Rule Entries: 197
Total Unused Rule Entries: 59

и это всего лишь с правилами которые выше (+арп_спуф_защита)

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт сен 29, 2009 22:56

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Пришлите пожалуйста полностью Ваш конфиг по почте. Ещё раз и внимательнее одно правило используется если Вы назначаете его на все 28 портов.

Вернуться наверх

neonman

Заголовок сообщения:

Добавлено: Вт сен 29, 2009 23:31

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

хм... жаль

на всех 28 портах включить фильтры не получится, ну если только arp_spoof_prevent

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт сен 29, 2009 23:39

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Некоторые общие правила фильтрации можно, а потом распределить оставшиеся между клиентскими портами. В большинстве случае хватает. Как Вам уже сказали у вас правила написаны неоптимально.

Вернуться наверх

neonman

Заголовок сообщения:

Добавлено: Вт сен 29, 2009 23:51

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

всё, разобрался почему не работало, извиняюсь, ложная тревога

свитч воткнули не в тот порт на вышестоящем, там не был прописан клиентский сегмент

вобщем попробовал заменить 5 профиль на профиль с source_ip_mask 0.0.0.0, добавил в конец правило 200 source_ip 0.0.0.0 deny, добавляю на нужный порт:

Код:

config access_profile profile_id 5 add access_id 9 ip source_ip 10.19.48.254 port 9 permit

а в списке вижу:

Код:

Access ID : 9
Ports     : 9
Mode      : Permit

Source IP
---------------
0.0.0.0

это так и должно быть?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Ср сен 30, 2009 11:16

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Значение source_ip_mask 0.0.0.0 в профиле по сути распространяет входящие в него правила на пакеты с любым IP источника.
Если хотите разрешить только один конкретный source_ip 10.19.48.254, то маску в профиле нужно создавать как source_ip_mask 255.255.255.255

Вернуться наверх

neonman

Заголовок сообщения:

Добавлено: Ср сен 30, 2009 17:05

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

ну значит придется делать правила так, как я выше и написал

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Ср сен 30, 2009 20:32

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

neonman писал(а):

ну значит придется делать правила так, как я выше и написал

нафига ? разрешить с порта ВСЁ.

_________________
LiveComm

Вернуться наверх

neonman

Заголовок сообщения:

Добавлено: Чт окт 01, 2009 11:55

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

нельзя, айпишник должен быть прибит к порту, вот думаю стоит ли там еще и мак проверять или нет

Вернуться наверх

neonman

Заголовок сообщения:

Добавлено: Чт окт 01, 2009 15:03

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

слушайте, а для дхцп запросов надо будет еще один профиль делать?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Чт окт 01, 2009 16:34

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

neonman писал(а):

слушайте, а для дхцп запросов надо будет еще один профиль делать?

Дополнительный профиль можно не делать, а добавить правило в уже имеющийся:
create access_profile ip source_ip 255.255.255.255 profile_id 5
config access_profile profile_id 5 add access_id 1 ip source_ip 10.19.48.254 port 5 permit
сonfig access_profile profile_id 5 add access_id 2 ip source_ip 0.0.0.0 port 5 permit

Вернуться наверх

Страница 1 из 2

[ Сообщений: 30 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 34

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения