Здравствуйте.
DSL-500T:
- по умолчанию раздает инет всем кто пропишет его шлюзом, на Вашем же форуме написано, что в конфиге надо прописать общий запрет, думаю "deny all from all", а потом просто правила на разрешение, но файл конфига в формате *.img, ума не приложу чем его открыть, если можно подскажите каким софтом его открыть.
DES-3828:
1) грубо говоря, используется IP&Mac Binding и ACL режим, сеть "звезда", на каждый порт присвоены определенные IP&MAC согласно таблице BindingTable.
Меня интересует защита от подмены IP&MAC, для начала рассмотрим стандартный случай убийства серва:
* банально ARP сканером узнаем MAC сервера (какого либо)
* подменяем IP & MAC сервера на своем компе и все ...
- и что происходит? MAC серва попадает в таблицу Binding Blocked и при ACL режиме блокируется на всех портах где включен Binding, даже если сам порт, куда подключен сервер без биндинга.
МАС спрятать никак нельзя, и как с этим быть?
2) при заведении любого IP&MAC в Binding Table с привязкой к определенным портам коммутатора появляется "Warning! Access profile entries are not configurated properly. The other entries are inactive!!!" и запись становится "Inactive", в то же время как на другой порт все хорошо присваивается.
Так и не понял что есть Inactive и почему появляется этот Warning ...

Буду очень признателен за ответы.

Вопрос по DSL-500T задайте пожалуйста в соответствующей ветке. По поводу DES-38XX в первую очередь какая у вас версия прошивки? Вы настраиваете режим IMP ACL? Покажите пожалуйста настройки IMP и как Вы добавляете очередную запись. По поводу как не дать клиенту подменить настройки на настройки сервера или шлюза попробуйте воспользоваться FAQ http://www.dlink.ru/technical/faq_hub_switch_115.php

Прошивка Build 4.50.B13.
ACL=Enabled, Порты на биндинг 1-13 Strict
Добавляю к примеру
IP: 10.0.4.5
MAC: хх-хх-хх-хх-хх-хх
Порт: 2
Режим: ACL

IP-MAC Binding Port State Table
--------------------------------------
Port \ State \ Allow Zero IP \ Forward DHCP Packet \ DHCP Snoop Max Entry
2 Enabled Disabled Enabled 5

А что касается FAQ, то там описывается только защита от банального конфликта при разных МАС адресах атакующего и сервера.

Во-первых попробуйте пожалуйста прошивку которую я вам выслал. Если не получится то пришлите схему сегмента сети с указанием портов подключения, а также конфиг устройства.

Прошивку поставил, ничего не изменилось. Конфиг устройства и скромное описание сети томятся на Вашем почтовом ящике.

И еще вопросик. Есть ли ограничение на введение количества записей в таблицу IMB, если да, то какое (количество и ... общее или на каждый порт).

А то у меня IP-MAC Binding Table -> Total Entries: 383, а Access Profile Table показывает ->Total Access Entries: только 374 и как раз 9 записей имеет статус Inactive

... и даже при отключенном IMB на портах, при включении ACL Mode в IP-MAC Binding Port -> "Warning! Access profile entries are not configurated properly. The other entries are inactive!!!"

Ждём подробного описания по почте как сегодня и говорили!

Письмо отправил.
Извините что так долго, правил таблицу IMB, переключал ветки на другие порты, щас все хорошо, все "Active" так сказать
Если что мой ICQ: 300-220

Рад слышать! Я Вам почтой ответил.

Конфиг выслан.
Жду ответа.

_________________
ICQ: 300-220

Хочу узнать, есть или намечаются ли решения проблемы бана по MAC адресу, который, напоминаю, должен банить не на всех портах коммутатора (DES-3828), а только на том с которого идет подмена IP&MAC.

_________________
ICQ: 300-220

Это вопрос непростой. Мы работаем над этим. Как только будут новости сообщим.