1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 23, 2025 17:20

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
synapse
 Заголовок сообщения: DES 3526 & 3028 [PCF, PPTP(GRE)]
СообщениеДобавлено: Вт окт 12, 2010 00:23 
Не в сети

Зарегистрирован: Сб апр 12, 2008 19:50
Сообщений: 23
Откуда: Киев
посдкажите как создать правило, что бы блокировать левые пптп сервера?
Есть большая сеть, на доступе везде стоит 3526 или 3028, все сводяться оптикой на 3627G, за ним уже стоят куча насов на фре с мпд на борту.
Подскажите, как сделать так, что бы устанавливать пптп соединение можна было исключительно с нашими серверами? В случае с дхцп все просто - блокируем ответ на пользовательских портах, и разрешаем на аплинке и так на всей цепочке, как быть в случае с пптп/гре?
Тоесть полностью резать гре нельзя, итого
Код:
create access_profile ip protocol_id_mask 0xFF profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip protocol_id 47 port 1 deny
юзать нельзя.
или если это проще, как запретить на клиентских портах устанавливать соединение с пптп серверами не с подсети X.X.X.X/Y
Вернуться наверх
 Профиль  
 
synapse
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 12, 2010 01:56 
Не в сети

Зарегистрирован: Сб апр 12, 2008 19:50
Сообщений: 23
Откуда: Киев
пробовал вот так
Код:
create access_profile ip protocol_id_mask 0xFF source_ip_mask 255.224.0.0 destination_ip_mask 255.255.255.240 profile_id 5
config access_profile profile_id 5 add access_id auto_assign ip source_ip 10.192.0.1 destination_ip 10.200.0.1 protocol_id 47 port 1 permit

create access_profile ip protocol_id_mask 0xFF source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 6
config access_profile profile_id 6 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 protocol_id 47 port 1 deny

Режет все..:(
Вернуться наверх
 Профиль  
 
synapse
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 12, 2010 01:59 
Не в сети

Зарегистрирован: Сб апр 12, 2008 19:50
Сообщений: 23
Откуда: Киев
Итого сформулирую задачу снова, нужно разрешить только клиентам с подсети 10.192.0.0/11 доступ до насов в подсети 10.200.1.0/29 по GRE. Всем остальным клиентам доступ до любых пптп серверов ограничить, тоесть порезать GRE.
прошу подсказать, что не так в предыдущих моих правилах, почему режеться все, хотя первый аксес профайл и правило в нем по идеи должно не резать 10.192.0.0/11 по гре до 10.200.1.0/29
Вернуться наверх
 Профиль  
 
synapse
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 12, 2010 03:54 
Не в сети

Зарегистрирован: Сб апр 12, 2008 19:50
Сообщений: 23
Откуда: Киев
добавлю - 1-24 клиентские порты, 25-26 - аплинки. (на аплинках идут транкы, тоесть несколько тегированых вланов), на юзерских портах - соотвественно сколько нужно антегов.
Вернуться наверх
 Профиль  
 
barguzin2
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 12, 2010 06:22 
Не в сети

Зарегистрирован: Пт май 22, 2009 07:59
Сообщений: 207
В правиле source_ip 10.192.0.1 destination_ip 10.200.0.1 получается указаны не сети, а определенные адреса, вот для них только и открыт доступ.

А вариант резать сразу попытки поднятия тунеля (tcp/1723) подойдет ? Тогда до GRE даже и не дойдет дело.
Вернуться наверх
 Профиль  
 
synapse
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 12, 2010 16:59 
Не в сети

Зарегистрирован: Сб апр 12, 2008 19:50
Сообщений: 23
Откуда: Киев
barguzin2 писал(а):
В правиле source_ip 10.192.0.1 destination_ip 10.200.0.1 получается указаны не сети, а определенные адреса, вот для них только и открыт доступ.

А вариант резать сразу попытки поднятия тунеля (tcp/1723) подойдет ? Тогда до GRE даже и не дойдет дело.
Там указаны подсети, смотрите профиль, там есть src_ip)mask и dest_ip_mask
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 13, 2010 17:22 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
synapse писал(а):
пробовал вот так
Код:
create access_profile ip protocol_id_mask 0xFF source_ip_mask 255.224.0.0 destination_ip_mask 255.255.255.240 profile_id 5
config access_profile profile_id 5 add access_id auto_assign ip source_ip 10.192.0.1 destination_ip 10.200.0.1 protocol_id 47 port 1 permit

create access_profile ip protocol_id_mask 0xFF source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 6
config access_profile profile_id 6 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 protocol_id 47 port 1 deny

Режет все..:(

По идее так должно работать.
Укажите адрес сервера и адрес клиента в этом тесте.

А почему просто не запретить tcp dst_port 1723?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Oleg Mozgunov и гости: 28

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB