D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Маска порта

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 13 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

NataN-82

Заголовок сообщения: Маска порта

Добавлено: Чт мар 03, 2011 13:53

Зарегистрирован: Ср янв 19, 2011 07:42
Сообщений: 84
Откуда: Кемерово

В общем не могу понять как она рассчитывается.
Прочитал статью на несколько раз http://www.dlink.ru/ru/faq/62/201.html
--------------------------------------------------
1) Вычисление масок профилей доступа:

начальное 11000 (дес.) = 0010 1|010 1111 1000 (двоич.)
конечное 11999 (дес.) = 0010 1|110 1101 1111 (двоич.)

маска 1111 1|000 0000 0000 (двоич.) = 0xF800 (шестн.)
закроет диапазон
от 0010 1|000 0000 0000 = 10240 дес.
до 0010 1|111 1111 1111 = 12287 дес.
------------------------------------------------
Не могу понять как получили 1111 1|000 0000 0000 (двоич.) = 0xF800 (шестн.).
До этого делал аклы только на один порт и использовал маску ffff, а теперь надо диапозон с 32800-32901 UDP (World of Tank)

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: Маска порта

Добавлено: Чт мар 03, 2011 14:19

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Потому что в значениях
0010 1|010 1111 1000 (двоич.)
0010 1|110 1101 1111 (двоич.)

первые 5 бит одинаковы. Поэтому маска -
1111 1|000 0000 0000 (двоич.)
т.е. первые 5 бит - единицы.

Вернуться наверх

NataN-82

Заголовок сообщения: Re: Маска порта

Добавлено: Пт мар 04, 2011 06:02

Зарегистрирован: Ср янв 19, 2011 07:42
Сообщений: 84
Откуда: Кемерово

То есть еcли я правильно понял, то получается следующие:
32800 (дес) - 1000 0000|0010 0000 (двоич)
32901 (дес) - 1000 0000|1000 0101 (двоич)

маска 1111 1111|0000 0000 (двоич) - ff00 (шестн) закроет диапазон
от 1000 0000|0000 0000 = 32768
до 1000 0000|1111 1111 = 33023

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: Маска порта

Добавлено: Пт мар 04, 2011 10:05

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Да

Вернуться наверх

KovAl59

Заголовок сообщения: Re: Маска порта

Добавлено: Пн апр 16, 2012 20:21

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов

На основе прочитанного, пытаюсь решить такую задачу: "вырезать" tcp/udp трафик по портам ниже 32768 в подсети 10.0.192.0/19, т.о. разрешить обмен только по портам выше 32767.
Для этого в DES-3200-10(18) создаю такой ACL

Код:

create access_profile profile_id 10 ip tcp destination_ip_mask 255.255.224.0 dst_port_mask 0x8000
config access_profile profile_id 10 add access_id auto_assign ip tcp destination_ip 10.0.192.0 dst_port 0 port 1-9 deny

create access_profile profile_id 11 ip udp destination_ip_mask 255.255.224.0 dst_port_mask 0x8000
config access_profile profile_id 11 add access_id auto_assign ip udp destination_ip 10.0.192.0 dst_port 0 port 1-9 deny

! Разрешаем весь остальной трафик
create access_profile profile_id 12 ip source_ip_mask 255.255.224.0
config access_profile profile_id 12 add access_id auto_assign ip source_ip 10.0.192.0 port 1-9 permit

Т.о. по моим расчетам, маска 8000(hex) 1000 0000 0000 0000(bin) должна захватить порты от 0 до 32767.
Однако не работает.. Фаервол клиента 10.0.192.159/22 фиксирует в логах

Код:

Apr/12/2012 20:14:03 [FW] **Drop Packet** IP/UDP 10.0.192.196:137->10.0.195.255:137
Apr/12/2012 20:14:03 [FW] **Drop Packet** IP/UDP 10.0.192.19:137->10.0.195.255:137
Apr/12/2012 20:14:03 [FW] **Drop Packet** IP/UDP 10.0.192.57:137->10.0.195.255:137
Apr/12/2012 20:14:02 [FW] **Drop Packet** IP/UDP 10.0.192.196:137->10.0.195.255:137
Apr/12/2012 20:14:02 [FW] **Drop Packet** IP/UDP 10.0.192.57:137->10.0.195.255:137
Apr/12/2012 20:14:02 [FW] **Drop Packet** IP/UDP 10.0.192.57:68->255.255.255.255:67
Apr/12/2012 20:14:02 [FW] **Drop Packet** IP/UDP 10.0.192.19:137->10.0.195.255:137
Apr/12/2012 20:14:01 [FW] **Drop Packet** IP/UDP 10.0.192.196:137->10.0.195.255:137
Apr/12/2012 20:14:01 [FW] **Drop Packet** IP/UDP 10.0.192.19:137->10.0.195.255:137
Apr/12/2012 20:14:00 [FW] **Drop Packet** IP/UDP 10.0.192.19:137->10.0.195.255:137
Apr/12/2012 20:14:00 [FW] **Drop Packet** IP/UDP 10.0.192.169:138->10.0.195.255:138
Apr/12/2012 20:13:58 [FW] **Drop Packet** IP/UDP 10.0.192.75:137->10.0.195.255:137
Apr/12/2012 20:13:58 [FW] **Drop Packet** IP/UDP 10.0.192.75:137->10.0.195.255:137
Apr/12/2012 20:13:58 [FW] **Drop Packet** IP/UDP 10.0.192.75:137->10.0.195.255:137
Apr/12/2012 20:13:57 [FW] **Drop Packet** IP/UDP 10.0.192.75:137->10.0.195.255:137
Apr/12/2012 20:13:57 [FW] **Drop Packet** IP/UDP 10.0.192.75:137->10.0.195.255:137
Apr/12/2012 20:13:57 [FW] **Drop Packet** IP/UDP 10.0.192.75:137->10.0.195.255:137
Apr/12/2012 20:13:56 [FW] **Drop Packet** IP/UDP 10.0.192.75:137->10.0.195.255:137
Apr/12/2012 20:13:56 [FW] **Drop Packet** IP/UDP 10.0.192.75:137->10.0.195.255:137
Apr/12/2012 20:13:56 [FW] **Drop Packet** IP/UDP 10.0.192.75:137->10.0.195.255:137

"Отправители" NEtBIOS броадкаста подключены к портам разных коммутаторов (DES 3200-10/18) по прибл. такой схеме:

Код:

                                       DGS-3100-24TG      
                                       |      |     |
        _______________________________|      |     |_________________
        |                                     |                       |
    3200-10                                3200-18                3200-18
        |                                     |                       |
10.0.192.159/22                      10.0.192.75/22              10.0.192.196/22

На всех коммутаторах загружены вышеуказанные ACL.
Что я сделал не так?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Маска порта

Добавлено: Вт апр 17, 2012 10:44

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Во-первых правила работают на стенде, только непонятно как Вы их ввели в DES-3200-10(18), так как синтаксис должен быть совсем другой:

Код:

create access_profile ip tcp dst_port_mask 0x8000 destination_ip_mask 255.255.224.0 profile_id 10
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 0 destination_ip 10.0.192.0 port 1-9 deny

create access_profile ip udp dst_port_mask 0x8000 destination_ip_mask 255.255.224.0 profile_id 11
config access_profile profile_id 11 add access_id auto_assign ip udp dst_port 0 destination_ip 10.0.192.0 port 1-9 deny

Во-вторых, как у Вас планируется нормальная работа клиентов при закрытых стандартных портах?

Вернуться наверх

KovAl59

Заголовок сообщения: Re: Маска порта

Добавлено: Вт апр 17, 2012 11:48

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов

Denis Evgraphov писал(а):

А это (синтаксис) принципиально?
Вот полный конфиг ACL, снятый непосредственно с коммутатора (DES-3200-18):

Код:

# ACL

create access_profile  ethernet  destination_mac FF-FF-FF-FF-FF-FF ethernet_type  profile_id 3
config access_profile profile_id 3  add access_id 1  ethernet  destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x0806    port 1-18 permit
create access_profile  ip  udp src_port_mask 0xFFFF    profile_id 4
config access_profile profile_id 4  add access_id 1  ip  udp src_port 67  port 18 permit
config access_profile profile_id 4  add access_id 2  ip  udp src_port 68  port 1-18 permit
config access_profile profile_id 4  add access_id 3  ip  udp src_port 67  port 1-17 deny
create access_profile  ethernet  destination_mac FF-FF-FF-FF-FF-FF  profile_id 6
config access_profile profile_id 6  add access_id 1  ethernet  destination_mac FF-FF-FF-FF-FF-FF  port 1-18 permit
create access_profile  ip  destination_ip 255.255.255.255 udp dst_port_mask 0xFFFF    profile_id 7
config access_profile profile_id 7  add access_id 1  ip  destination_ip 80.XX.XX.XX udp dst_port 53  port 1-17 permit
create access_profile  ip  destination_ip 255.255.255.255 tcp dst_port_mask 0xFFFF    profile_id 8
config access_profile profile_id 8  add access_id 1  ip  destination_ip 10.254.213.7 tcp dst_port 80  port 1-17 permit
create access_profile  ip  vlan 0xFFF  profile_id 9
config access_profile profile_id 9  add access_id 1  ip  vlan management  port 1-17 permit
create access_profile  ip  destination_ip 255.255.224.0 tcp dst_port_mask 0x8000    profile_id 10
config access_profile profile_id 10  add access_id 1  ip  destination_ip 10.0.192.0 tcp dst_port 0  port 1-17 deny
create access_profile  ip  destination_ip 255.255.224.0 udp dst_port_mask 0x8000    profile_id 11
config access_profile profile_id 11  add access_id 1  ip  destination_ip 10.0.192.0 udp dst_port 0  port 1-17 deny
create access_profile  ip  source_ip 255.255.224.0  profile_id 12
config access_profile profile_id 12  add access_id 1  ip  source_ip 10.0.192.0  port 1-17 permit
create access_profile  ethernet  ethernet_type  profile_id 15
config access_profile profile_id 15  add access_id 1  ethernet  ethernet_type 0x0800    port 1-17 deny
disable cpu_interface_filtering

На стенде и у меня "как бы вроде работает", правда в немного другой конфигурации и пока не удается смоделировать вышеуказанную ситуацию (NetBios broadcast), проверяю только telnet-ом, наблюдая tcpdump-ом пакеты на шлюзе.
Там действительно, все тип-топ - пакеты с dst port < 32768 не видны, все что "выше" наблюдаются..
Может есть какая-то особенность с конкретно этим видом трафика? Или он "пролезает" где-то в другом месте? Учитывая то, что в логах клиента другого "мусора" не наблюдается.

Denis Evgraphov писал(а):

Во-вторых, как у Вас планируется нормальная работа клиентов при закрытых стандартных портах?

Стандартные порты закрыты только внутри клиентской подсети (10.0.192.0/19) . Да и работа не "планируется", а уже давно работает, сорри за тафтологию.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Маска порта

Добавлено: Вт апр 17, 2012 11:56

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

ACL на данной серии действует только на входящий в порт трафик, а значит смотреть, где он пролезает надо на коммутаторе, в который подключены клиенты 10.0.192.196 и т.д. А не на коммутаторе клиента 10.0.192.159

Вернуться наверх

KovAl59

Заголовок сообщения: Re: Маска порта

Добавлено: Вт апр 17, 2012 13:17

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов

Denis Evgraphov писал(а):

А я разве утверждаю обратное? Взгляните на схему. На всех коммутаторах, изображенных на схеме, включая DGS-3100, загружены идентичные ACL.
И еще раз хочу обратить внимание на то, что "на столе" у меня ситуация с broadcast не моделируется и соответственно также как и у Вас не подтверждается.. Да, а с маской 0х8000 я не ошибся? Теоретически все верно посчитано в контексте поставленной задачи?
Почему в логах только udp broadcast? Может проблема из-за разницы в масках подсети клиентов (/22) и маски в ACL (/19)? Ведь для клиента 10.0.192.0/22 IP 10.0.195.255 - это broadcast для его подсети. Хотя прекрасно понимаю, что маска /19 закрывает /22.. Может быть "дырка" где-то "вверху" ACL?
Не здесь случаем, это просачивается?

Код:

create access_profile  ethernet  destination_mac FF-FF-FF-FF-FF-FF  profile_id 6
config access_profile profile_id 6  add access_id 1  ethernet  destination_mac FF-FF-FF-FF-FF-FF  port 1-18 permit

Кстати, существует ли какой-то метод, для того чтобы поснифать трафик на порту географически удалённого коммутатора?
В моей ситуации подключиться ноутом непосредственно на месте просто некому..

Ко всему оборудованию сети удалённый доступ полный.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Маска порта

Добавлено: Вт апр 17, 2012 14:13

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Если это широковещательный трафик, отправляемый на MAC-адрес FF-FF-FF-FF-FF-FF, то указанный профиль его разрешает и до последующих профилей проверка не доходит.
На DES-3200 возможности отзеркалировать трафик удаленно нет.

Вернуться наверх

SpiderX

Заголовок сообщения: Re: Маска порта

Добавлено: Вт апр 17, 2012 15:27

Зарегистрирован: Чт дек 24, 2009 17:30
Сообщений: 296
Откуда: Днепропетровск

Цитата:

Кстати, существует ли какой-то метод, для того чтобы поснифать трафик на порту географически удалённого коммутатора?

Можно только составить разрешающее правило, в которое должен попадать ожидаемый трафик на порту, повесить на него счетчик, и посмотреть попадает ли в него трафик.

Вернуться наверх

KovAl59

Заголовок сообщения: Re: Маска порта

Добавлено: Вт апр 17, 2012 15:47

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов

Denis Evgraphov писал(а):

Если это широковещательный трафик, отправляемый на MAC-адрес FF-FF-FF-FF-FF-FF, то указанный профиль его разрешает и до последующих профилей проверка не доходит.

По-видимому так оно и есть, т.к. IP назначения, фигурирующий в логах клиента, и есть тот самый broadcast-address для подсети 10.0.192.0/22.
А как бы его отфильтровать? Хотя бы тот же NetBios и прочие "мусорные" udp/tcp(138,139,445, etc..), не нарушив функциональность сети (оставив "нужный" broadcast), используя существующие профайлы? Очень не хотелось бы "раздувать" ACL..
По-видимому, пора перебираться на PCF ACL, там возможностей существенно больше. Жаль только, что DGS-3100 не поддерживают pcf..

Denis Evgraphov писал(а):

На DES-3200 возможности отзеркалировать трафик удаленно нет.

А на DGS-3100-24TG возможно? Или это можно сделать только на коммутаторах, где есть L3 функционал?
На DGS-3612G возможно? Если "да", то опишите пожалуйста, вкратце процедуру.

SpiderX писал(а):

Цитата:

А смысл? Убедиться в том, что "суслик есть", хотя его и не видно?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Маска порта

Добавлено: Вт апр 17, 2012 16:42

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Это можно сделать на DGS-3612G при помощи RSPAN. Документацию я Вам выслал.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 13 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 26

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения