1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 30, 2025 00:41

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 10 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
G@riK
 Заголовок сообщения: 3526: проблема с ACL
СообщениеДобавлено: Вт авг 14, 2007 16:32 
Не в сети

Зарегистрирован: Вт сен 26, 2006 18:25
Сообщений: 146
Доброе время суток.

Есть задача заблокировать порты < 1024.
Ситуация такая:

3526, прошивка DES3526_401B42

1-24 - абонентские порты
25 - приходящий для связи с остальными сегментами
26 - не задействован

Правила и профили созданы вот такие:
Код:
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.1.0 destination_ip 10.1.2.0 port 25 permit
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.0 profile_id 20
config access_profile profile_id 20 add access_id 1 ip source_ip x.x.x.x destination_ip 10.1.2.0 port 25 permit
config access_profile profile_id 20 add access_id 2 ip source_ip x.x.x.x destination_ip 10.1.2.0 port 25 permit
config access_profile profile_id 20 add access_id 3 ip source_ip x.x.x.x destination_ip 10.1.2.0 port 25 permit
config access_profile profile_id 20 add access_id 4 ip source_ip x.x.x.x destination_ip 10.1.2.0 port 25 permit
create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.0 tcp src_port_mask 0xFC00 dst_port_mask
0xFC00 profile_id 30
config access_profile profile_id 30 add access_id 1 ip source_ip 192.168.0.0 destination_ip 10.1.2.0 tcp src_port 0 dst_port
0 port 25 deny
create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.0 udp src_port_mask 0xFC00 dst_port_mask
0xFC00 profile_id 31
config access_profile profile_id 31 add access_id 1 ip source_ip 192.168.0.0 destination_ip 10.1.2.0 udp src_port 0 dst_port
0 port 25 deny
create access_profile ip source_ip_mask 255.0.0.0 destination_ip_mask 255.255.255.0 tcp src_port_mask 0xFC00 dst_port_mask 0x
FC00 profile_id 40
config access_profile profile_id 40 add access_id 1 ip source_ip 10.0.0.0 destination_ip 10.1.2.0 tcp src_port 0 dst_port 0 p
ort 25 deny
create access_profile ip source_ip_mask 255.0.0.0 destination_ip_mask 255.255.255.0 udp src_port_mask 0xFC00 dst_port_mask 0x
FC00 profile_id 41
config access_profile profile_id 41 add access_id 1 ip source_ip 10.0.0.0 destination_ip 10.1.2.0 udp src_port 0 dst_port 0 p
ort 25 deny


Но заблокировать данный диапазон портов так и не получилось.
Где может быть ошибка? В прошивке или в логике?


Последний раз редактировалось G@riK Вт авг 14, 2007 19:44, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Yuriev Denis
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 14, 2007 18:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср мар 21, 2007 10:37
Сообщений: 393
Попробуйте с новой прошивкой
Вернуться наверх
 Профиль  
 
G@riK
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 14, 2007 19:46 
Не в сети

Зарегистрирован: Вт сен 26, 2006 18:25
Сообщений: 146
Yuriev Denis писал(а):
Попробуйте с новой прошивкой

Насколько я понимаю, у нас стоит последняя прошивка.
Вернуться наверх
 Профиль  
 
Yuriev Denis
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 14, 2007 20:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср мар 21, 2007 10:37
Сообщений: 393
401B42. Это не последняя прошивка
Вернуться наверх
 Профиль  
 
Magnum72
 Заголовок сообщения: Re: 3526: проблема с ACL
СообщениеДобавлено: Вт авг 14, 2007 22:04 
Не в сети

Зарегистрирован: Пт окт 21, 2005 07:39
Сообщений: 375
Откуда: Екатеринбург
G@riK писал(а):
Доброе время суток.

Есть задача заблокировать порты < 1024.
Ситуация такая:


Ты на портах куда воткнуты клиенты хочешь блокировать или на аплинк порту?
Вернуться наверх
 Профиль  
 
kapa
 Заголовок сообщения: Re: 3526: проблема с ACL
СообщениеДобавлено: Вт авг 14, 2007 22:53 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
Magnum72 писал(а):
G@riK писал(а):
Доброе время суток.

Есть задача заблокировать порты < 1024.
Ситуация такая:


Ты на портах куда воткнуты клиенты хочешь блокировать или на аплинк порту?

в примере - аплинк
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 15, 2007 11:41 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
ACL фильтрует только входящий трафик.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 15, 2007 14:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Вам нужно создать два профиля: для udp src_port и отдельно для udp dst_port, например так:

create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.0 udp dst_port_mask 0xFC00 profile_id 32

create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.0 udp src_port_mask 0xFC00 profile_id 33

Иначе, допустим, если идёт пакет с src_port 5001 и dst_port 501, то вашим профилем он не заблокируется, так как src_port не входит в указанный диапозон, но если бы профиль был такой как в примере(profile_id 32), то данный пакет заблокируется.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
kapa
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 15, 2007 15:01 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
Bigarov Ruslan писал(а):
Вам нужно создать два профиля: для udp src_port и отдельно для udp dst_port, например так:

create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.0 udp dst_port_mask 0xFC00 profile_id 32

create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.0 udp src_port_mask 0xFC00 profile_id 33

Иначе, допустим, если идёт пакет с src_port 5001 и dst_port 501, то вашим профилем он не заблокируется, так как src_port не входит в указанный диапозон, но если бы профиль был такой как в примере(profile_id 32), то данный пакет заблокируется.

вот спасибо!
только хотел спросить - а не воспринимает ли он в одном правиле порты <1024 и источника и получателя как условие одновременного выполнения?
сейчас переделаем
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 15, 2007 15:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Конечно воспринимает.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 10 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 48

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB