1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт июл 24, 2025 00:20

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 5 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
terrible
 Заголовок сообщения: TCP UDP фильтрация на 3828
СообщениеДобавлено: Ср окт 31, 2007 14:54 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Дано: DES-3828 fw Build 3.00.B29
Сервера подключены к магистрали на 1 порту

Задача:

Разрешить TCP пакеты на сервера по портам: 23, 80 и 1723
Разрешить UDP пакеты на DNS сервер: UDP 53
Разрешить SNMP управление свичом
Все остальные пакеты запретить вообще.
ICMP не трогаем

Попробовал это реализовать следующим образом:

create access_profile ip tcp src_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip tcp src_port 1723 port 1 permit

create access_profile ip tcp src_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip tcp src_port 80 port 1 permit

create access_profile ip tcp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 1 ip tcp src_port 23 port 1 permit

create access_profile ip tcp src_port_mask 0x0000 profile_id 4
config access_profile profile_id 4 add access_id 1 ip tcp src_port 0 port 1 deny


create access_profile ip udp src_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip tcp src_port 53 port 1 permit

create access_profile ip udp dst_port_mask 0xFFFF profile_id 6
config access_profile profile_id 6 add access_id 1 ip tcp dst_port 161 port 1 permit

create access_profile ip udp src_port_mask 0x0000 profile_id 7
config access_profile profile_id 7 add access_id 1 ip tcp src_port 0 port 1 deny

Подскажите где ошибка? TCP порты блокируются все :( UDP тоже
Или надо как-то по другому делать?
Вернуться наверх
 Профиль  
 
Pritorius
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 31, 2007 15:31 
Не в сети

Зарегистрирован: Сб дек 20, 2003 08:11
Сообщений: 728
Откуда: Rosnet, Комсомольск-на-Амуре
Если я не ошибаюсь блокировать в вашем случае недо не СУРС а ДЕСТенейшн! А так вы получается блокируете любой запрос от любого порта с любой машины :wink:

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 31, 2007 15:55 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Делал по аналогии с этим:
http://dlink.ru/technical/faq_hub_switch_66.php

Насколько я понимаю, sourse рассматривается как порт, с которого обраткой полетит трафик на клиента, т.е. допустим 80
Вернуться наверх
 Профиль  
 
Pritorius
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 31, 2007 16:07 
Не в сети

Зарегистрирован: Сб дек 20, 2003 08:11
Сообщений: 728
Откуда: Rosnet, Комсомольск-на-Амуре
Нет там немножко другой случай :wink: Попробуйте сделать как я вам написал и будет вам счастье.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 31, 2007 16:41 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Попробовал как вы сказали:

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 1723 port 1 permit

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip tcp dst_port 80 port 1 permit

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 1 ip tcp dst_port 23 port 1 permit

create access_profile ip tcp dst_port_mask 0x0000 profile_id 4
config access_profile profile_id 4 add access_id 1 ip tcp dst_port 0 port 1 deny


create access_profile ip udp dst_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip udp dst_port 53 port 1 permit

create access_profile ip udp dst_port_mask 0xFFFF profile_id 6
config access_profile profile_id 6 add access_id 1 ip udp dst_port 161 port 1 permit

create access_profile ip udp dst_port_mask 0x0000 profile_id 7
config access_profile profile_id 7 add access_id 1 ip udp dst_port 0 port 1 deny

Вроде работает :)
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 5 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 29

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB