D-Link • Просмотр темы - DES-3200-18/C1 не работает filter netbios

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3200-18/C1 не работает filter netbios

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 6 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

zend

Заголовок сообщения: DES-3200-18/C1 не работает filter netbios

Добавлено: Чт ноя 06, 2014 12:29

Зарегистрирован: Пт окт 12, 2012 21:41
Сообщений: 66

Здравствуйте.

Имеется DES-3200-18/C1 с прошивками Build 4.37.B013 и Build 4.37.B014.
После введения команд:

Код:

config filter netbios all state enable
config filter extensive_netbios all state enable 

Возможность открывать стетевые диски остаётся. Тоесть фильтр не работает (или этот фильтр где-то ещё надо ещё включить?).

После введения команд:

Код:

create access_profile profile_id 11 profile_name KillNetBIOS ip tcp dst_port_mask 0xFFFF
config access_profile profile_id 11 add access_id 1 ip tcp dst_port 135 port all deny
config access_profile profile_id 11 add access_id 2 ip tcp dst_port 137 port all deny
config access_profile profile_id 11 add access_id 3 ip tcp dst_port 138 port all deny
config access_profile profile_id 11 add access_id 4 ip tcp dst_port 139 port all deny
config access_profile profile_id 11 add access_id 5 ip tcp dst_port 445 port all deny

create access_profile profile_id 12 profile_name KillNetBIOSUDP ip udp dst_port_mask 0xFFFF
config access_profile profile_id 12 add access_id 1 ip udp dst_port 135 port all deny
config access_profile profile_id 12 add access_id 2 ip udp dst_port 137 port all deny
config access_profile profile_id 12 add access_id 3 ip udp dst_port 138 port all deny
config access_profile profile_id 12 add access_id 4 ip udp dst_port 139 port all deny
config access_profile profile_id 12 add access_id 5 ip udp dst_port 445 port all deny

Сетевые диски не открываются, то есть такой способ блокировки работает

PS
Если астраивать access_profile без отключения filter netbio и extensive_netbios коммутатор ругается на нехватку ресурсов, если делать наоборот, то есть, сначала настроить access_profile, а затем включить filter netbio и extensive_netbios, то коммутатор на нехватку ресурсов не ругается, он просто не включает фильтры).

Вернуться наверх

xcme

Заголовок сообщения: Re: DES-3200-18/C1 не работает filter netbios

Добавлено: Чт ноя 06, 2014 14:22

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308

Оффтоп:
Если вы хотите не просто заблокировать сетевые ресурсы, а еще и попрятать все, что можно, то портов выше недостаточно. Посмотреть можно на странице http://windows.microsoft.com/ru-ru/wind ... =windows-7
Я оставил у себя такой список:
TCP 135,139,445,2869,3587,5357,5358
UDP 135,213,445,3540,3587,5355

p.s. Некоторые порты (вроде 137, 138) пропустил, т.к. такие запросы броадкастовые и их надо блокировать соответствующим правилом. Явное указание портов избыточно.

_________________
D-Link Switches: Tips & Tricks

Вернуться наверх

zend

Заголовок сообщения: Re: DES-3200-18/C1 не работает filter netbios

Добавлено: Пт ноя 07, 2014 07:20

Зарегистрирован: Пт окт 12, 2012 21:41
Сообщений: 66

xcme писал(а):

Оффтоп:
p.s. Некоторые порты (вроде 137, 138) пропустил, т.к. такие запросы броадкастовые и их надо блокировать соответствующим правилом. Явное указание портов избыточно.

Если не секрет, расскажите пожалуйста, каким правилом вы блокируете бродкаст?

Вернуться наверх

NShut

Заголовок сообщения: Re: DES-3200-18/C1 не работает filter netbios

Добавлено: Пт ноя 07, 2014 10:45

Зарегистрирован: Вт фев 12, 2008 09:13
Сообщений: 102

Цитата:

Если не секрет, расскажите пожалуйста, каким правилом вы блокируете бродкаст?

скорей всего просто разрешен арп бродкаст, а остальные бродкасты закрыты
примерно так:

Цитата:

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF source_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 30 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x0806 port 1-28 permit
config access_profile profile_id 1 add access_id 70 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-28 deny
config access_profile profile_id 1 add access_id 71 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny

А вообще зачем правила коммутатора тратить на нетбиос их и так нехватает. Я только на гетвее порты нетбиоса режу.
надо же способствовать хоть в локалке распространению вирусов

Вернуться наверх

xcme

Заголовок сообщения: Re: DES-3200-18/C1 не работает filter netbios

Добавлено: Пт ноя 07, 2014 13:16

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308

zend писал(а):

xcme писал(а):

Если не секрет, расскажите пожалуйста, каким правилом вы блокируете бродкаст?

У меня для C1 еще нет полного набора правил. Для A1/B1 одно время было так:

Код:

create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0x0 profile_id 7
config access_profile profile_id 7 add access_id auto_assign packet_content destination_mac FF-FF-FF-FF-FF-FF port 1-24 deny 

Оффсет нужен для какой то недокументированной фичи.

В этой серии если пакет/кадр попадают одновременно и под ACL и под PCF ACL, то приоритетным будет запрещающее правило, а не то, что идет первым (что напрашивается, но увы). Поэтому, чтобы не выделываться, я стараюсь все сразу делать на PCF.

Код:

#deny TCP 135,139,445,2869,3587,5357,5358
create access_profile packet_content_mask offset1 l3 8 0xFF offset2 l3 22 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x6 offset2 0x0087 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x6 offset2 0x008B port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x6 offset2 0x01BD port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x6 offset2 0x0B35 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x6 offset2 0x0E03 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x6 offset2 0x14ED port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x6 offset2 0x14EE port 1-24 deny
#deny UDP 135,213,445,3540,3587,5355
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x11 offset2 0x0087 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x11 offset2 0x00D5 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x11 offset2 0x01BD port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x11 offset2 0x0DD4 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x11 offset2 0x0E03 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content offset1 0x11 offset2 0x14EB port 1-24 deny

Опять же, для A1/B1.

P.S. Преимущество PCF еще и в возможности использования "бинарной" маски (см блог). Это позволяет экономить правила (при продуманной организации адресного пространства).

_________________
D-Link Switches: Tips & Tricks

Вернуться наверх

zend

Заголовок сообщения: Re: DES-3200-18/C1 не работает filter netbios

Добавлено: Пн ноя 10, 2014 16:30

Зарегистрирован: Пт окт 12, 2012 21:41
Сообщений: 66

Понятно, спасибо :-)

Вернуться наверх

Страница 1 из 1

[ Сообщений: 6 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Ivan Karbovskii и гости: 9

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения