Здравствуйте.
Извините меня если я плохо искал в FAQ и на форуме, но я не нашел своего ответа.
Уважительная просьба, подскажите по какому принципу-алгоритму получается маска в двоичном виде диапазона портов ?
что то не могу сообразить
http://www.dlink.ru/ru/faq/62/201.html
И не подскажите, возможно ли такое :
открыть только нужные distination port tcp либо udp
и закрыть все,
вобщем как в обычном фаерволе.
Спасибо жду очень ответа, или ссылку на ответ.

_________________
Не атакуйте меня, пожалуйста

Ну доспустим вам нужно создать маску портов, в двоичном виде маска на один порт будет равна:

1111 1111 1111 1111

Что соответствует шестнадцатиричной: FFFF
Или десятиричной: 65536

Вам нужно увеличить маску, допустим вот так:

1111 1111 1111 1110

Следовательно, в шестнадцатиричной это будет: FFFE
Или десятиричной: 65534

с такой маской можно ограничить 2 порта: например 136 и 137

Или можно взять более обширную маску:

1111 1111 1110 0000

Следовательно, в шестнадцатиричной это будет: FFE0
Или шестрадцатиричной: 65504

С такой маской можно ограничить уже 32 порта: например со 120 по 160

Это по поводу масок.

Если вам нужно открыть только определённые порты (TCP) и закрыть все остальные - разрешайте входящий трафик на ваши порты, затем закрывайте весь остальный входящи TCP трафик с флагом syn.

Если нужно UDP - разрешайте UDP на ваши порты (dst-port), разрешайте служебные UDP (например srs-port 53), и блокируйте все остальное.

Хороший, кстати, фаер получится.

Спасибо огромное за ваш труд-ответ!.
Вроде как уже понял.. , а не подскажите как будет выглядеть правило в DES3526 которое бы закрыло диапозон портов, тоесть одно правило.., а то я же не буду создавать ~60000 правил на закрытие портов
Спасибо

_________________
Не атакуйте меня, пожалуйста

ну вы скажите, что именно вам нужно закрыть?
если нужно закрыть все TCP порты, то маска портов будет 0x0000

ну как я понял, создается профиль ACL и в нем указывается по какому принципу, и что будет обрабатываться тоесть "входить-соответствовать-проверяться" - ну и там же задается маска.., а далее создаются в этом созданном ранее профиле Access id rule в которых уже можно по маске прописывать правила.. маску на диапозон задать можно(как вы уже помогли разобраться), а вот как теперь задать правило на диапозон портов=на основе этой маски.. ?

P.S
это да, но далее нужно же будет создавать правила на основе этой маски, я же не смогу перечислять все порты, тоесть каждый порт прописывать по правилу.


""<value 0-65535>"" <<<-- тоесть вот тут я хотел бы задать диапазон, а не один порт

_________________
Не атакуйте меня, пожалуйста

Какие конкретно порты вы желаете оптом закрыть?
Например:
tcp - с 1024 по 2048
udp - с 3 по 8
Или это некий разрозненный набор портов, типа 135, 137,138,139,445 и т.д.?

_________________
не важно, из какого места растут золотые руки

разрозненный - вообще хочу сначала открыть порты 80,443,1723,2525, ..
ну и потом закрыть 1-65535
если так нельзя то подскажите пожалуйста, как можно

_________________
Не атакуйте меня, пожалуйста

может я что-то не допонял, но вы сами только что указали схему действия:
1-м профилем разрешаете порты 80,443,1723,2525, ..
(вот тут придется их по одному разрешать, т.к. не диапазон)
2-м профилем запрещаете все порты (т.е. вообще все)
(а тут - диапазон)

_________________
не важно, из какого места растут золотые руки

(а тут - диапазон) - вот корень проблемы ) а как его задать
через CLI (telnet) мне дается ввести только один порт я немогу указать вот так вот

P.S. на всякий случай
DES-3526:admin#show switch
Command: show switch
Device Type : DES-3526 Fast-Ethernet Switch
Boot PROM Version : Build 5.00.009
Firmware Version : Build 6.00.B14
Hardware Version : A4

_________________
Не атакуйте меня, пожалуйста

В качестве портов вы можете использовать любой. Я взял 3, вы можете любой из 1-65535.
Т.е. вы пишете "3", а маска (0x0) подразумевает "все" (1-65535)
В случае маски 0xffff "3" означало бы именно 3-й порт

_________________
не важно, из какого места растут золотые руки

create access_profile ip tcp dst_port_mask 0xFFFF prof 5
config access_profile profile_id 5 add access_id auto ip tcp dst_port 80 port 1 perm
config access_profile profile_id 5 add access_id auto ip tcp dst_port 443 port 1 perm
config access_profile profile_id 5 add access_id auto ip tcp dst_port 1723 port 1 perm
config access_profile profile_id 5 add access_id auto ip tcp dst_port 2525 port 1 perm

create access_profile ip tcp dst_port_mask 0x0 flag syn prof 10
config access_profile profile_id 10 add access_id auto ip tcp dst_port 0 syn port 1 deny

Я жутко благодарен я разобрался и все понял
terrible
GreatFoolDad
Огромное вам спасибо за объяснения и разъяснения.
P.S. очень редко мне так помогают на форумах, чтобы так без эмоций - прямо по делу.
УХ еще раз спасибо

p.s.s. \\\create access_profile ip tcp dst_port_mask 0x0 flag syn prof 10\\\
надо в этой строчки флаг поменять на all вместо syn,
это так мало ли кому пригодится... а то что то непонимал почему не работает должным образом )

_________________
Не атакуйте меня, пожалуйста