Здравствуйте. Не могу никак решить следующую задачу:



Необходимо отфильтровать до NAT'а все адреса назначения находящиеся в диапазонах 10.0.0.0/8, 172.16.0.0/16 и 192.168.0.0/16 кроме 10.1.0.0/23, 10.2.0.0/22 и 172.16.1.0/24 при сохранении маршрутизации между сетями 10.1.0.0/23 и 10.2.0.0/22.
По логике самое простое - создать следующее правило:

но такая конструкция не работает и все пакеты все равно ломятся через 5 порт на NAT сервер. Насколько я понял в свитче пакеты фильтруются только при поступление на порт. Но тогда придется писать гораздо больше правил (сначала разрешающих откуда-куда, потом запрещающих все остальное), но дело в том что сетей на самом деле не две, а 10, да и половина ACL уже используется под другие задачи. Что делать? Что я не так делаю?

ps.

если правило немного изменить на :

_________________
Люблю писать с ошибками.....
D-Link User: DGS-3627G, DGS-3324SR, DES-3526, DES-1024D, DES-1016D, DWL-2100AP, DEM-310GT,DEM-330, DCS-950.

Нет. Такое точно не работает.

Неужели топовая железка от длинка за 2 штуки баксов не справится с такой задачей?

Она может, просто, нужно правильно задать что ему делать.

Итак:
create access_profile profile_id 1 ip source_ip_mask 255.255.254.0 destination_ip_mask 255.255.252.0
config access_profile profile_id 1 add access_id 1 ip source_ip 10.1.0.0 destination_ip 10.2.0.0 port 1-2,5 permit

create access_profile profile_id 2 ip source_ip_mask 255.255.252.0 destination_ip_mask 255.255.254.0
config access_profile profile_id 2 add access_id 1 ip source_ip 10.2.0.0 destination_ip 10.1.0.0 port 1-2,5 permit

create access_profile profile_id 3 ip source_ip_mask 255.255.254.0
config access_profile profile_id 1 add access_id 3 ip source_ip 10.1.0.0 port 1-2,5 permit

create access_profile profile_id 4 ip source_ip_mask 255.255.252.0
config access_profile profile_id 4 add access_id 1 ip source_ip 10.2.0.0 port 1-2,5 permit

create access_profile profile_id 5 ip source_ip_mask 255.255.255.0
config access_profile profile_id 5 add access_id 1 ip source_ip 172.16.1.0 port 1-2,5 permit

create access_profile profile_id 6 ip destination_ip_mask 255.0.0.0
config access_profile profile_id 6 add access_id 1 ip destination_ip 10.0.0.0 port 1-2,5 deny

create access_profile profile_id 7 ip destination_ip_mask 255.255.0.0
config access_profile profile_id 7 add access_id 1 ip destination_ip 172.16.0.0 port 1-2,5 deny
config access_profile profile_id 7 add access_id 2 ip destination_ip 192.168.0.0 port 1-2,5 deny

P.S.: Схему не совсем понял, поэтому и укзала диапозон портов 1-2,5. А так, нужно помнить, что коммутатор фильтрует входящие пакеты.

_________________
С уважением,
Бигаров Руслан.

Ну я не знаю как еще схему объяснить Две сети через коммутатор и нат-сервер за ним ходят в инет. Задача чтобы до нат-сервера доходили запросы на адреса только находящиееся в интернет, т.е. все кроме rfc1918. Если тупо запретить rfc1918, то локалки меж сетями не выйдет. Если фильтровать по сетям на каждом порту каждой сети - не хватит правил, т.к. сетей на самом деле больше двух и все с разными масками.

т.е у вас сети не только 1-2 порту ? а также во всех остальных ?
в 5 только NAT ?
если всё понимаю , то попробую придумать подругому , некоторые вещи упустил из виду ...
у вас заблокировалось всё если тот профиль применить.
на 3627 правило не расходуется на каждый порт =) , т.е можно указать все порты , а можно и в CPU filter создать.
....
может что и неучёл , проверяйте :

_________________
Люблю писать с ошибками.....
D-Link User: DGS-3627G, DGS-3324SR, DES-3526, DES-1024D, DES-1016D, DWL-2100AP, DEM-310GT,DEM-330, DCS-950.

Еще раз: надо фильтровать не источник, а назначение На нат-сервер стоит считалка трафика которая тупо собирает все с порта в базу. Так вот учитывая что народу в сети больше 1к человек и у многих вирусы, база с трафиком растет офигенными темпами. Т.е. до ната должны доходить запросы на адреса != rfc1918.
Сейчас это сделано примерно так:

Но сетей 10 штук на самом деле, у всех разные маски и все просто не умещаются, т.к. в свитче всего лишь 14+5 профилей из котрых 2/3 уже занято под всякие приоритеты, дхцп и пр фильтры.

ну а как вам обьяснить что свичь может отрабатывать ACL только для входящих пакетов ?
или вы не так пытаетесь обьяснить или мы не понимаем ( хотя потихоньку начинаем )
в профилях есть и источники назначение если незаметили , но назначение на клиенском порту , и направление в сторону NAT если его IP то блокируем кроме разрешённых выше .
все что разрешены они ходят везде и не блокируются.
если у вас есть и другие профили то надо учитывать работу ACL.
А то что профилей мало , ну да есть такое и с этим нечего не поделаеш , фильтруйте на самом NAT раз с профилями туго.
Или поставте например 3526 между 3627 и NAT и будем вам входящий порт и кучка профилей

_________________
Люблю писать с ошибками.....
D-Link User: DGS-3627G, DGS-3324SR, DES-3526, DES-1024D, DES-1016D, DWL-2100AP, DEM-310GT,DEM-330, DCS-950.

а у меня на нат все адреса 10.0.0.0/8 заблокированны последним профилем и все работает
так что адрес нат-сервера вообще никак не участвует. В общем я понял что выхода особого нет из ситуации. Будем растить бд...

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390.

вопрос из тойже темы, есть клиент L3 на свичте DGS-3627G
даю команду


делаю пинг IP свитча пинг есть, клиент и свитч в разных сетях. Как заблокировать клиентам доступ к свитчу?

а что ограничения trusted hosts не устраивает ?

_________________
LiveComm

Стандартные ACL не работают, если dst ip = ipif System

_________________
С уважением,
Бигаров Руслан.