faq обучение настройка
Текущее время: Пт июл 11, 2025 19:18

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: Про ACL и DES-3526
СообщениеДобавлено: Пн янв 31, 2011 20:54 
Не в сети

Зарегистрирован: Вт май 11, 2010 09:47
Сообщений: 121
Всем доброго времени суток.
Есть следующая задача:"Убить" всю локаль,оставить только пинг,дхцп,пппое,и порты управления свичами(16(перенёс с 80) и 23).
Это всё делается на DES-3526.Fir 6.0.51
После применения последнего правила всё отваливается.
Наклепал следующие ACL

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 1

config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 20 permit

create access_profile ethernet ethernet_type profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 20 permit
config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 20 permit

create access_profile ip icmp type profile_id 3
config access_profile profile_id 3 add access_id 1 ip icmp type 0 code 0 port 20 permit
config access_profile profile_id 3 add access_id 2 ip icmp type 8 code 0 port 20 permit


create access_profile ip udp dst_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id 1 ip udp dst_port 68 port 20 permit


create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip tcp dst_port 8000 port 20 permit
config access_profile profile_id 5 add access_id 2 ip tcp dst_port 8001 port 20 permit
config access_profile profile_id 5 add access_id 3 ip tcp dst_port 16 port 20 permit
config access_profile profile_id 5 add access_id 4 ip tcp dst_port 23 port 20 permit
config access_profile profile_id 5 add access_id 5 ip tcp dst_port 4090 port 20 permit
config access_profile profile_id 5 add access_id 6 ip tcp dst_port 4899 port 20 permit


create access_profile ip udp dst_port_mask 0xFFFF profile_id 6
config access_profile profile_id 6 add access_id 1 ip udp dst_port 8000 port 20 permit
config access_profile profile_id 6 add access_id 2 ip udp dst_port 8001 port 20 permit
config access_profile profile_id 6 add access_id 3 ip udp dst_port 16 port 20 permit
config access_profile profile_id 6 add access_id 4 ip udp dst_port 23 port 20 permit
config access_profile profile_id 6 add access_id 5 ip udp dst_port 4090 port 20 permit
config access_profile profile_id 6 add access_id 6 ip udp dst_port 4899 port 20 permit



create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 20 deny




После применения ТСП и УДП порты не пробрасываются и пинг до некоторых устойств отваливается(каждый раз до разных)
Что Я делаю не так?своими силами пока не дошёл
Заранее Благодарен


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Про ACL и DES-3526
СообщениеДобавлено: Пн янв 31, 2011 21:48 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
я же вам писал на наге, что желательно сделать 2 акла: 1 на eth, другой на ip, оба отдебажить и уже после этого объединять.
А вы опять всё в кучу сложили. Или хотите чтобы всё за вас кто-нибудь сделал?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Про ACL и DES-3526
СообщениеДобавлено: Пн янв 31, 2011 21:57 
Не в сети

Зарегистрирован: Вт май 11, 2010 09:47
Сообщений: 121
terrible писал(а):
я же вам писал на наге, что желательно сделать 2 акла: 1 на eth, другой на ip, оба отдебажить и уже после этого объединять.
А вы опять всё в кучу сложили. Или хотите чтобы всё за вас кто-нибудь сделал?

Каким образом отдебажить?
Попробывал по Вашим рекомендациям,невышло.
А по поводу "за Вас" яб тогда не заморачивался ацлами а просто клянчил готовые.....


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Про ACL и DES-3526
СообщениеДобавлено: Вт фев 01, 2011 00:20 
Не в сети

Зарегистрирован: Ср май 16, 2007 19:00
Сообщений: 396
в поиске посмотрите
search.php?keywords=acl+3526
помню были темы с кучей примеров ACL

_________________
Умная книжка по теории сетей и настройкам свичей:
ftp://ftp.dlink.ru/pub/Trainings/Switch_D-Link_newest_Basic.pdf


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Про ACL и DES-3526
СообщениеДобавлено: Ср фев 02, 2011 21:05 
Не в сети

Зарегистрирован: Вт май 11, 2010 09:47
Сообщений: 121
Проверяя на стенде пришёл к тому что нужно разрешить Src порты.

create access_profile ip tcp src_port_mask 0x0001 profile_id 6
config access_profile profile_id 6 add access_id 1 ip tcp src_port 1 port 1 permit

Как я понял это правило должно разрешить все СРЦ порты начина 1 и заканчива 65535.(пришёл к тому после прочтения фака)
Но что то невышло.
Капаю дальше....


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Про ACL и DES-3526
СообщениеДобавлено: Вт фев 22, 2011 20:13 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
NX_BIT писал(а):
Есть следующая задача:"Убить" всю локаль,оставить только пинг,дхцп,пппое,и порты управления свичами

Это всё делается на DES-3526

  1. выносим юзеров в отдельный VLAN
    Код:
    config vlan default delete 1-24

    create vlan users tag 2
    config vlan users add untagged 1-24

    управление остается в VLAN default
  2. рисуем ACL для VLAN default - таким образом там будет разрешен ВЕСЬ трафик без указания портов
    Код:
    create access_profile                                        ethernet ethernet_type       vlan         profile_id 1
    config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x806 vlan default port 1-26 permit
    config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x800 vlan default port 1-26 permit
  3. запрещаем на юзерских портах PPPoE Discovery (0x8863) + Active Discovery Offer (PADO) (0x07), проще говоря - запрещаем появление нелегальных РРРоЕ серверов
    Код:
    create access_profile                                        packet_content_mask offset_16-31 0xffff00ff 0x0 0x0 0x0 profile_id 2
    config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 1-24 deny
  4. разрешаем PPPoE и ARP (оно нужно чтобы пинги ходили)
    Код:
    create access_profile                                        ethernet ethernet_type        profile_id 3
    config access_profile profile_id 3 add access_id auto_assign ethernet ethernet_type 0x8863 port 1-24 permit
    config access_profile profile_id 3 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-24 permit
    config access_profile profile_id 3 add access_id auto_assign ethernet ethernet_type 0x806  port 1-24 permit
  5. разрешаем ICMP чтоб трейсы ходили
    Код:
    create access_profile                                        ip source_ip_mask 0.0.0.0 icmp type profile_id 4
    config access_profile profile_id 4 add access_id auto_assign ip source_ip      0.0.0.0 icmp type  0 port 1-24 permit
    config access_profile profile_id 4 add access_id auto_assign ip source_ip      0.0.0.0 icmp type  3 port 1-24 permit
    config access_profile profile_id 4 add access_id auto_assign ip source_ip      0.0.0.0 icmp type  8 port 1-24 permit
    config access_profile profile_id 4 add access_id auto_assign ip source_ip      0.0.0.0 icmp type 11 port 1-24 permit
  6. запрещаем любой траффик
    Код:
    create access_profile                                        ethernet source_mac 00-00-00-00-00-00 profile_id 5
    config access_profile profile_id 5 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny
  7. ???
  8. ПРОФИТ!

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Про ACL и DES-3526
СообщениеДобавлено: Ср фев 23, 2011 09:01 
Не в сети

Зарегистрирован: Ср сен 30, 2009 10:33
Сообщений: 76
snark при тех же условиях для успешной работы pptp кроме arp, icmp, gre, tcp 1723, что еще, необходимо, разрешить?

какой ethernet_type для gre - 2f? pptp?
или для gre лучше воспользоваться protocol id 47?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Про ACL и DES-3526
СообщениеДобавлено: Чт фев 24, 2011 12:44 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
true писал(а):
для успешной работы pptp кроме arp, icmp, gre, tcp 1723, что еще, необходимо, разрешить?

нет

true писал(а):
для gre лучше воспользоваться protocol id 47?

именно так ;)

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: rdj_msk и гости: 92


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB