faq обучение настройка
Текущее время: Вс авг 03, 2025 09:39

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
СообщениеДобавлено: Пт июл 16, 2010 16:02 
Не в сети

Зарегистрирован: Ср май 16, 2007 19:00
Сообщений: 396
для блокировки нетбиоса и DHCP, на свичах des-3526/3028 и dgs-3100 (на свичах может быть несколько vlan в которых нужно блокировать) достаточно ли будет правил:
Цитата:
create access_profile ip udp src_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id 1 ip udp src_port 67 port 1-24 deny
config access_profile profile_id 4 add access_id 25 ip udp src_port 68 port 1-24 permit

create access_profile ip udp dst_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip udp dst_port 68 port 1-24 deny
config access_profile profile_id 5 add access_id 25 ip udp dst_port 67 port 1-24 permit

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 6
config access_profile profile_id 6 add access_id 1 ip tcp dst_port 135 port 1-24 deny
config access_profile profile_id 6 add access_id 25 ip tcp dst_port 137 port 1-24 deny
config access_profile profile_id 6 add access_id 49 ip tcp dst_port 138 port 1-24 deny
config access_profile profile_id 6 add access_id 73 ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 6 add access_id 97 ip tcp dst_port 445 port 1-24 deny

create access_profile ip udp dst_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id 1 ip udp dst_port 135 port 1-24 deny
config access_profile profile_id 7 add access_id 25 ip udp dst_port 137 port 1-24 deny
config access_profile profile_id 7 add access_id 49 ip udp dst_port 138 port 1-24 deny
config access_profile profile_id 7 add access_id 73 ip udp dst_port 139 port 1-24 deny
config access_profile profile_id 7 add access_id 97 ip udp dst_port 445 port 1-24 deny


на гигабитных портах des-3526/3028 нечего не делаем

зы в des-3526 есть встроенный фильтр нетбиоса. есть разница воспользоваться им или просто заблокировать порты?!??

нужны правила которые будут перл скриптом через телнет добавляться в большой список свичей + в будущем правила должны быть работоспособные для des-3200

_________________
Умная книжка по теории сетей и настройкам свичей:
ftp://ftp.dlink.ru/pub/Trainings/Switch_D-Link_newest_Basic.pdf


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 16, 2010 16:52 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
эффективнее использовать PCF ACL.
В них можно не учитывать TCP или UDP и таким образом сэкономить кол-во правил.

_________________
LiveComm


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 26


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB