1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 21, 2025 15:52

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
koval
 Заголовок сообщения: ACL на DGS-3100
СообщениеДобавлено: Ср апр 11, 2012 20:20 
Не в сети

Зарегистрирован: Вт авг 08, 2006 21:15
Сообщений: 21
Откуда: Ивановская обл.
Вопрос такой - какой порядок прохождения пакета по правилам ACL на DGS-3100-24TG?
С первого до последнего включительно, или до первого совпадения?
Например, есть такой ACL (вырезка для блокировки всех tcp/udp портов, ниже 32768 )
Цитата:
create access_profile profile_id 10 ip tcp destination_ip_mask 255.255.224.0 dst_port_mask 8000
create access_profile profile_id 11 ip udp destination_ip_mask 255.255.224.0 dst_port_mask 8000
create access_profile profile_id 12 ip source_ip_mask 255.255.224.0

config access_profile profile_id 10 add access_id 230 ip tcp destination_ip 10.0.192.0 dst_port 0 ports 1:(1-23) deny
config access_profile profile_id 11 add access_id 231 ip udp destination_ip 10.0.192.0 dst_port 0 ports 1:(1-23) deny
config access_profile profile_id 12 add access_id 232 ip source_ip 10.0.192.0 ports 1:(1-23) permit

Рассуждал так - пакет udp dest port например 137, должен быть дропнут правилом № 231 профайла № 11 и дальше обрабатываться (проходить через другие профили) не должен. Соответственно, всё то, что не попало в профили №№ 10-11 пропускается профилем № 12.
Из практики получается, что это не так.. Или я где-то ошибся в составлении "запретов"?
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: ACL на DGS-3100
СообщениеДобавлено: Чт апр 12, 2012 10:19 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Прошивка 3.60.44
Не могу подтвердить.
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения: Re: ACL на DGS-3100
СообщениеДобавлено: Чт апр 12, 2012 10:39 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Alexandr Zaitsev писал(а):
Прошивка 3.60.44
Не могу подтвердить.

В смысле? У Вас на стенде мой конфиг отрабатывает исправно?
У меня прошивка 3.60.37, есть смысл обновить?
P.S. Вот нашел свою же тему. Судя по ответу Artem Kolpakov, все должно работать.
На всякий случай приведу полный конфиг
Цитата:
create access_profile profile_id 3 ethernet destination_mac ff:ff:ff:ff:ff:ff ethernet_type
config access_profile profile_id 3 add access_id 1 ethernet destination_mac ff:ff:ff:ff:ff:ff ethernet_type 806 ports 1:(1-24) permit

create access_profile profile_id 4 ip udp src_port_mask ffff
config access_profile profile_id 4 add access_id 2 ip udp src_port 67 ports 1:24 permit
config access_profile profile_id 4 add access_id 3 ip udp src_port 67 ports 1:(1-23) deny

create access_profile profile_id 5 ethernet destination_mac ff:ff:ff:ff:ff:ff
config access_profile profile_id 5 add access_id 4 ethernet destination_mac ff:ff:ff:ff:ff:ff ports 1:(1-24) permit

create access_profile profile_id 6 ethernet vlan
config access_profile profile_id 6 add access_id 5 ethernet vlan management ports 1:(1-24) permit

create access_profile profile_id 7 ip udp destination_ip_mask 255.255.255.255 dst_port_mask ffff
config access_profile profile_id 7 add access_id 6 ip udp destination_ip 80.xx.xx.xx dst_port 53 ports 1:(1-23) permit

create access_profile profile_id 8 ip tcp destination_ip_mask 255.255.255.255 dst_port_mask ffff
config access_profile profile_id 8 add access_id 7 ip tcp destination_ip 10.254.213.7 dst_port 80 ports 1:(1-23) permit

create access_profile profile_id 9 ip source_ip_mask 255.255.255.255
config access_profile profile_id 9 add access_id 8 ip source_ip 192.168.200.61 ports 1:(1-23) permit
config access_profile profile_id 9 add access_id 9 ip source_ip 192.168.200.62 ports 1:(1-23) permit

create access_profile profile_id 10 ip tcp destination_ip_mask 255.255.224.0 dst_port_mask 8000
config access_profile profile_id 10 add access_id 230 ip tcp destination_ip 10.0.192.0 dst_port 0 ports 1:(1-23) deny

create access_profile profile_id 11 ip udp destination_ip_mask 255.255.224.0 dst_port_mask 8000
config access_profile profile_id 11 add access_id 231 ip udp destination_ip 10.0.192.0 dst_port 0 ports 1:(1-23) deny


create access_profile profile_id 12 ip source_ip_mask 255.255.224.0
config access_profile profile_id 12 add access_id 232 ip source_ip 10.0.192.0 ports 1:(1-23) permit


create access_profile profile_id 13 ip source_ip_mask 255.255.255.0
config access_profile profile_id 13 add access_id 10 ip source_ip 192.168.211.0 ports 1:19 permit


create access_profile profile_id 15 ethernet ethernet_type
config access_profile profile_id 15 add access_id 233 ethernet ethernet_type 800 ports 1:(1-23) deny

Единственная "непоследовательность" есть в профайле №13, но если основываться на утверждении выше, № профиля в работе АЦЛ не учитывается. Или что-то поменялось в более поздних прошивках?
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: ACL на DGS-3100
СообщениеДобавлено: Чт апр 12, 2012 10:54 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
На DGS-3100 другая схема, там учитывается только номер правила. Видимо поэтому у Вас и не отрабатывает.
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения: Re: ACL на DGS-3100
СообщениеДобавлено: Чт апр 12, 2012 11:19 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Alexandr Zaitsev писал(а):
На DGS-3100 другая схема, там учитывается только номер правила. Видимо поэтому у Вас и не отрабатывает.

И? Где ошибка?
По этой логике udp пакет от 10.0.192.217/22 с dst port 137 должен однозначно дропнутся правилом № 231 профайла № 11, не попав при этом в разрешающее правило № 232 профайла № 12.
Однако клиент, подключенный к порту этого коммутатора присылает нам вот такие логи своего фаервола
Код:
Apr/11/2012 12:34:28 [FW] **Drop Packet** IP/UDP 10.0.192.217:138->10.0.195.255:138
Apr/11/2012 12:34:27 [FW] **Drop Packet** IP/UDP 10.0.192.223:137->10.0.195.255:137
Apr/11/2012 12:34:26 [FW] **Drop Packet** IP/UDP 10.0.192.223:137->10.0.195.255:137
Apr/11/2012 12:34:25 [FW] **Drop Packet** IP/UDP 10.0.192.223:137->10.0.195.255:137
Apr/11/2012 12:34:22 [FW] **Drop Packet** IP/UDP 10.0.192.183:137->10.0.195.255:137
Apr/11/2012 12:34:21 [FW] **Drop Packet** IP/UDP 10.0.192.183:137->10.0.195.255:137
Apr/11/2012 12:34:20 [FW] **Drop Packet** IP/UDP 10.0.192.183:137->10.0.195.255:137
Apr/11/2012 12:34:13 [FW] **Drop Packet** IP/UDP 10.0.192.40:138->10.0.195.255:138
Apr/11/2012 12:34:13 [FW] **Drop Packet** IP/UDP 10.0.192.16:138->10.0.195.255:138
Apr/11/2012 12:34:05 [FW] **Drop Packet** IP/UDP 10.0.192.16:138->10.0.195.255:138
Apr/11/2012 12:34:05 [FW] **Drop Packet** IP/UDP 10.0.192.40:138->10.0.195.255:138
Apr/11/2012 12:34:05 [FW] **Drop Packet** IP/UDP 10.0.192.40:138->10.0.195.255:138

Все IP из этого списка попасть к клиенту кроме как через обсуждаемый коммутатор не могут (находятся в другом сегменте сети).
К сожалению, посмотреть трафик непосредственно на портах DGS-3100 очень проблематично ("узловой" коммутатор, находится на техэтаже жилого дома).
P.S. А у DGS-3100 есть счетчики на правилах АЦЛ?
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения: Re: ACL на DGS-3100
СообщениеДобавлено: Сб апр 14, 2012 08:56 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
И всё же.. Вопрос до сих пор открытый - как убедиться работают ли, или НЕ работают ACL на DGS-3100?
Кроме того, в результате анализа логов от клиента, создалось такое впечатление, что аналогичные ACL не работают также и на DES-3200-18
Цитата:
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 3
config access_profile profile_id 3 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x0806 port 1-18 permit
create access_profile ip udp src_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id 1 ip udp src_port 67 port 18 permit
config access_profile profile_id 4 add access_id 2 ip udp src_port 68 port 1-18 permit
config access_profile profile_id 4 add access_id 3 ip udp src_port 67 port 1-17 deny
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 6
config access_profile profile_id 6 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-18 permit
create access_profile ip destination_ip 255.255.255.255 udp dst_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id 1 ip destination_ip 80.XX.XX.XX udp dst_port 53 port 1-17 permit
create access_profile ip destination_ip 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 8
config access_profile profile_id 8 add access_id 1 ip destination_ip 10.254.213.7 tcp dst_port 80 port 1-17 permit
create access_profile ip vlan 0xFFF profile_id 9
config access_profile profile_id 9 add access_id 1 ip vlan management port 1-17 permit
create access_profile ip destination_ip 255.255.224.0 tcp dst_port_mask 0x8000 profile_id 10
config access_profile profile_id 10 add access_id 2 ip destination_ip 10.0.192.0 tcp dst_port 0 port 1-17 deny
create access_profile ip destination_ip 255.255.224.0 udp dst_port_mask 0x8000 profile_id 11
config access_profile profile_id 11 add access_id 1 ip destination_ip 10.0.192.0 udp dst_port 0 port 1-17 deny
create access_profile ip source_ip 255.255.224.0 profile_id 12
config access_profile profile_id 12 add access_id 1 ip source_ip 10.0.192.0 port 1-17 permit
create access_profile ethernet ethernet_type profile_id 15
config access_profile profile_id 15 add access_id 1 ethernet ethernet_type 0x0800 port 1-17 deny

Что примечательно, броадкаст проходит только от клиентов, подключенных к 3200-18. От подключенных к 3200-10 подобного не наблюдается. Ну и аналогично на DGS-3100..

P.S. Такой вывод сделан только по результату анализа схемы и логов от клиента. Возможно простое совпадение. Существует ли более достоверный метод?

P.P.S. Хотел прицепить рисунок с участком схемы - не работает, ругается пределом объема вложений (файл всего 22Кб).
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения: Re: ACL на DGS-3100
СообщениеДобавлено: Пн апр 16, 2012 10:28 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
KovAl59 писал(а):
Что примечательно, броадкаст проходит только от клиентов, подключенных к 3200-18. От подключенных к 3200-10 подобного не наблюдается. Ну и аналогично на DGS-3100..

Насчет 3200-10 не подтвердилось - не дропает и на них..
Похоже, ошибка в ACL, а вот где именно??
Каким образом смоделировать ситуацию "на столе" ?? :roll:
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 27

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB