Всем доброго времени суток.
Есть следующая задача:"Убить" всю локаль,оставить только пинг,дхцп,пппое,и порты управления свичами(16(перенёс с 80) и 23).
Это всё делается на DES-3526.Fir 6.0.51
После применения последнего правила всё отваливается.
Наклепал следующие ACL

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 1

config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 20 permit

create access_profile ethernet ethernet_type profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 20 permit
config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 20 permit

create access_profile ip icmp type profile_id 3
config access_profile profile_id 3 add access_id 1 ip icmp type 0 code 0 port 20 permit
config access_profile profile_id 3 add access_id 2 ip icmp type 8 code 0 port 20 permit


create access_profile ip udp dst_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id 1 ip udp dst_port 68 port 20 permit


create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip tcp dst_port 8000 port 20 permit
config access_profile profile_id 5 add access_id 2 ip tcp dst_port 8001 port 20 permit
config access_profile profile_id 5 add access_id 3 ip tcp dst_port 16 port 20 permit
config access_profile profile_id 5 add access_id 4 ip tcp dst_port 23 port 20 permit
config access_profile profile_id 5 add access_id 5 ip tcp dst_port 4090 port 20 permit
config access_profile profile_id 5 add access_id 6 ip tcp dst_port 4899 port 20 permit


create access_profile ip udp dst_port_mask 0xFFFF profile_id 6
config access_profile profile_id 6 add access_id 1 ip udp dst_port 8000 port 20 permit
config access_profile profile_id 6 add access_id 2 ip udp dst_port 8001 port 20 permit
config access_profile profile_id 6 add access_id 3 ip udp dst_port 16 port 20 permit
config access_profile profile_id 6 add access_id 4 ip udp dst_port 23 port 20 permit
config access_profile profile_id 6 add access_id 5 ip udp dst_port 4090 port 20 permit
config access_profile profile_id 6 add access_id 6 ip udp dst_port 4899 port 20 permit



create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 20 deny




После применения ТСП и УДП порты не пробрасываются и пинг до некоторых устойств отваливается(каждый раз до разных)
Что Я делаю не так?своими силами пока не дошёл
Заранее Благодарен

я же вам писал на наге, что желательно сделать 2 акла: 1 на eth, другой на ip, оба отдебажить и уже после этого объединять.
А вы опять всё в кучу сложили. Или хотите чтобы всё за вас кто-нибудь сделал?

Каким образом отдебажить?
Попробывал по Вашим рекомендациям,невышло.
А по поводу "за Вас" яб тогда не заморачивался ацлами а просто клянчил готовые.....

в поиске посмотрите
search.php?keywords=acl+3526
помню были темы с кучей примеров ACL

_________________
Умная книжка по теории сетей и настройкам свичей:
ftp://ftp.dlink.ru/pub/Trainings/Switch_D-Link_newest_Basic.pdf

Проверяя на стенде пришёл к тому что нужно разрешить Src порты.

create access_profile ip tcp src_port_mask 0x0001 profile_id 6
config access_profile profile_id 6 add access_id 1 ip tcp src_port 1 port 1 permit

Как я понял это правило должно разрешить все СРЦ порты начина 1 и заканчива 65535.(пришёл к тому после прочтения фака)
Но что то невышло.
Капаю дальше....

_________________
с уважением, БП

snark при тех же условиях для успешной работы pptp кроме arp, icmp, gre, tcp 1723, что еще, необходимо, разрешить?

какой ethernet_type для gre - 2f? pptp?
или для gre лучше воспользоваться protocol id 47?

нет


именно так

_________________
с уважением, БП