1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 25, 2025 19:50

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
true
 Заголовок сообщения: acl dgs3426
СообщениеДобавлено: Пт фев 25, 2011 16:44 
Не в сети

Зарегистрирован: Ср сен 30, 2009 10:33
Сообщений: 76
Добрый день.
Есть идея на порту коммутатора dgs-3426 разрешить прохождения трафика для успешной работы pptp и запретить все остальное.
Начал с малого, чтобы случайно не оставить без доступа абонентов - в acl добавляю счетчик и проверяю попадают ли пакеты в него.
Возникло не понимание с тривиальными acl для tcp 1723 - счетчик dst port 1723 не изменяет свое значение.

Код:
create access_profile profile_id 4 ip tcp src_port_mask 0xFFFF dst_port_mask 0xFFFF
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 1723  port 5 permit counter enable
config access_profile profile_id 4 add access_id auto_assign ip tcp src_port 1723  port 5 permit counter enable


результат:
Код:
DGS-3426:admin#show acce pro 4
Command: show access_profile profile_id 4

Access Profile Table

Total Unused Rule Entries:126
Total Used Rule Entries  :2


Access Profile ID: 4                                      Type : IP
================================================================================
Owner       : ACL
MASK Option :
TCP Src.P  Dst.P 
    0xFFFF 0xFFFF
-----------------

Access ID : 1              Mode: Permit               RX Rate(64Kbps): no_limit
Ports: 5
Total Matched Counter:0                     
-----------------
           1723   
================================================================================


Access ID : 2              Mode: Permit               RX Rate(64Kbps): no_limit
Ports: 5
Total Matched Counter:36554                 
-----------------
    1723         
================================================================================
Unused Entries: 126


В дампе машины, которая подключена к 5му порту:

Скрытый текст: показать
tcpdump -i eth1 -np tcp port 1723
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
16:00:06.961083 IP 172.16.203.73.1060 > 192.168.1.1.1723: Flags [P.], seq 1352038095:1352038111, ack 1812086313, win 64135, length 16: pptp CTRL_MSGTYPE=ECHORQ ID(2264924160)
16:00:06.961232 IP 192.168.1.1.1723 > 172.16.203.73.1060: Flags [P.], seq 1:21, ack 16, win 7504, length 20: pptp CTRL_MSGTYPE=ECHORP ID(2264924160) RESULT_CODE(1) ERR_CODE(0)
16:00:06.966438 IP 192.168.1.1.1723 > 172.16.201.76.49244: Flags [P.], seq 3527416950:3527416966, ack 1577654691, win 16, length 16: pptp CTRL_MSGTYPE=ECHORQ ID(2030108672)
16:00:06.967458 IP 172.16.201.76.49244 > 192.168.1.1.1723: Flags [P.], seq 1:21, ack 16, win 16341, length 20: pptp CTRL_MSGTYPE=ECHORP ID(2030108672) RESULT_CODE(1) ERR_CODE(0)
16:00:06.967516 IP 192.168.1.1.1723 > 172.16.201.76.49244: Flags [.], ack 21, win 16, length 0
16:00:06.977993 IP 192.168.1.1.1723 > 172.16.202.62.2364: Flags [P.], seq 1103532844:1103532860, ack 1332799311, win 16, options [nop,nop,TS val 1259546576 ecr 389983182], length 16: pptp CTRL_MSGTYPE=ECHORQ ID(3323133952)
16:00:07.002038 IP 192.168.1.1.1723 > 172.16.192.107.1105: Flags [P.], seq 3057531371:3057531387, ack 2340098234, win 7504, length 16: pptp CTRL_MSGTYPE=ECHORQ ID(4177657856)
16:00:07.002823 IP 172.16.192.107.1105 > 192.168.1.1.1723: Flags [P.], seq 1:21, ack 16, win 64943, length 20: pptp CTRL_MSGTYPE=ECHORP ID(4177657856) RESULT_CODE(1) ERR_CODE(0)
16:00:07.002954 IP 192.168.1.1.1723 > 172.16.192.107.1105: Flags [.], ack 21, win 7504, length 0
16:00:07.016694 IP 172.16.202.62.2364 > 192.168.1.1.1723: Flags [P.], seq 1:21, ack 16, win 5840, options [nop,nop,TS val 389986187 ecr 1259546576], length 20: pptp CTRL_MSGTYPE=ECHORP ID(3323133952) RESULT_CODE(1) ERR_CODE(0)
16:00:07.016784 IP 192.168.1.1.1723 > 172.16.202.62.2364: Flags [.], ack 21, win 16, options [nop,nop,TS val 1259546586 ecr 389986187], length 0



Если просто создать профиль acl с dst_port_mask 0xFFFF и поместить в него правило для dst port 1732, счетчик также не изменяет свое значение.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: acl dgs3426
СообщениеДобавлено: Пт фев 25, 2011 17:16 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Какая у Вас версия ПО?
На 2.70.B56 счетчики отрабатывают корректно. Также на клиентском порту Вам необходимо ловить лишь пакеты с dst tcp 1723.

Скрытый текст: показать
Код:
DGS-3426:admin#show acce pro 4
Command: show access_profile profile_id 4

Access Profile Table

Total Unused Rule Entries:127
Total Used Rule Entries  :1


Access Profile ID: 4                                      Type : IP
================================================================================
Owner       : ACL
MASK Option :
TCP Dst.P
    0xFFFF
-----------------

Access ID : 1              Mode: Permit               RX Rate(64Kbps): no_limit
Ports: 2
Total Matched Counter:3
-----------------
    1723
================================================================================
Unused Entries: 127

DGS-3426:admin#
Вернуться наверх
 Профиль  
 
true
 Заголовок сообщения: Re: acl dgs3426
СообщениеДобавлено: Пт фев 25, 2011 17:47 
Не в сети

Зарегистрирован: Ср сен 30, 2009 10:33
Сообщений: 76
Последняя.
Код:
DGS-3426:admin#show firmware information
Command: show firmware information

 ID Version   Size(B) Update Time         From               User
 -- --------- ------- ------------------- ------------------ ---------------
*1  2.70.B56


Цитата:
Также на клиентском порту Вам необходимо ловить лишь пакеты с dst tcp 1723.

теперь все понял.
пакеты от юзеров приходят в другие порты коммутатора (с 17 по 22) и "по ферме" идут в порт (5), где сервер.
пакеты попавшие в коммутатор и прошедшие acl, внутри коммутатора не проверяются.
видимо, заработался...
спасибо за правильную мысль! :)

PS тему прошу пока не закрыть.
Вернуться наверх
 Профиль  
 
Chupaka
 Заголовок сообщения: Re: acl dgs3426
СообщениеДобавлено: Пн фев 28, 2011 00:30 
Не в сети

Зарегистрирован: Вт июн 17, 2008 18:59
Сообщений: 1203
Откуда: Минск, Беларусь
угу, иманна так: ACL действует только на приходящие на заданный порт пакеты

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: acl dgs3426
СообщениеДобавлено: Пн фев 28, 2011 10:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Отпишитесь по результатам своих опытов :)
Вернуться наверх
 Профиль  
 
true
 Заголовок сообщения: Re: acl dgs3426
СообщениеДобавлено: Пн фев 28, 2011 10:39 
Не в сети

Зарегистрирован: Ср сен 30, 2009 10:33
Сообщений: 76
мои опыты уже в пятницу после вашего поста закончились.
в силу некоторых причин, нет возможности жестко ограничить пропускание определенного трафика на портах, к которым подключены узлы агрегации.
что-то фильтруется на доступе, что-то в узлах агрегации.
а задумка была отфильтровать к nat-серверу полезный трафик, пропустив только tcp 1723, gre, icmp, arp.
других мыслей пока у меня нет.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 122

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB