В последней прошивке (B035) заметил интересную опцию в ethernet acl - only_filter_non_IP.
Но либо она не работает, либо я ее неправильно использую. Так работает:
Код:
create access_profile ethernet source_mac 000000000000 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet only_filter_non_IP state disable source_mac 00-00-00-00-00-00 port 1-5 deny
Так не работает (IP трафик проходит):
Код:
create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet only_filter_non_IP state disable ethernet_type 0x0800 port 1-5 deny
И так тоже:
Код:
create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet only_filter_non_IP state disable port 1-5 deny
И похоже ethernet правила отрабатывают до IP, так как такие правила хорошие пакеты не пускают:
Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 10.90.90.1 port 1 permit
create access_profile ethernet source_mac 000000000000 ethernet_type profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet only_filter_non_IP state enable ethernet_type 0x0806 port 1-6 permit
config access_profile profile_id 2 add access_id 2 ethernet only_filter_non_IP state disable source_mac 00-00-00-00-00-00 port 1-5 deny
И все также через CLI нет возможности создать такую ACL:
Код:
create access_profile ipv6 source_ipv6_mask :: profile_id 1
config access_profile profile_id 1 add access_id 1 ipv6 source_ipv6 :: port 1-5 deny