Хотелось бы увидеть примеры работы acl с опцией user_define или хотябы вменяемое объяснение, то что я увидел в cli man и мануале по веб морде меня не вдохновило. Можно ли с помощью этой опции отфильтровать UDP и IP пакеты скажем с src_port 67 или для этого придется создавать два отдельных профиля?

Вы имеете ввиду Packet Content Filtering?

нет я имею ввиду
DES-3526:admin#create access_profile ip protocol_id_mask 0xFF user_define_mask <hex 0x0-0xffffffff>

Как я понимаю проверяются первые 5 байт ethernet пакета, dst порт удп и тцп в них не попадают..

Эта маска означает фильтрацию по ID протокола IP и по следущим за заголовком IP байтам. Вы можете привести пример что нужно сделать подробнее?

Можно ли реализовать тоже самое с пощью подобного правила?
create access_profile ip udp src_port_mask 0xFFFF vlan profile_id 50
config access_profile profile_id 50 add access_id auto_assign ip udp src_port 67 vlan default port 1-24 deny
config access_profile profile_id 50 add access_id auto_assign ip udp src_port 53 vlan default port 1-24 deny
Вот например ip пакет:
0x0000: 00c0 a000 00a0 0019 5b72 4732 0800 4510
0x0010: 02fc 9a75 4000 4006 2f99 ac19 8bf4 ac19
0x0020: 89b6 0016 09fc 0624 257a 9ff1 579d 5018
0x0030: 29e0 70cc 0000 6a54 6d80 666a 3a5e c07a
0x0040: f048 8376 3e0b c20e ba1e caf6 1351 b944
0x0050: c90f 65de 340d d407 887b 9238 4e0b 4814

Правило сравнивает заданные 0-5 октет с содержимым пакета после 2f99?

А можно вопрос чем не устраивают указанные правила?

нет, можно только фильтровать протоколы ... список номеров здесь

_________________
с уважением, БП

Только тем что занимают два профиля.
protocol_id фильтрует протоколы по их номерам эт я понял и уже пользовался, а что фильтрует тогда параметр user_define, разве dst port протокола не попадает в те самые "следующие за заголовком ip байты"?

-тут я правильно понял или все таки ошибся?

зачем вам это, если все это можно спокойно реализовать через Packet Content Filtering ? Указав в нужном месте соответствующую маску байт, где написан порт.

_________________
LiveComm

я еще раз Вас пошлю в доку ... так же я Вас попрошу подумать над тем что стандартные ACL учитывают TCP, UDP и ICMP, а вот, например, GRE не учитывают и именно для того чтобы Вы могли указать в своем ACL вместо "запретить ТСР" такую вещь как, к примеру, "запретить GRE" и существуют маски протоколов ... я ясно объяснил?

+1
все это, а так же многое другое запросто решается через PCF

_________________
с уважением, БП

Непонимаю ваших зачем вам так если можно эдак, короче не знаете и ладно, поэксперементирую с этой функцией если не получится сделаю через фильтрацию по содержимому.
Если я некорректно поставил вопрос, извиняюсь.
Вопрос был не в ip ptocol id фильтрации а в дополнительном ее параметре user_define , которое сравнивает заданные 5 октетов байт с содержимым пакета после заголовка. Разница между таким методом и packet content filtering есть только в том случае если у ip пакета заголовок нестандартного размера (т.е. не 5 dword`ов ,незнаю де они такие есть ) Скорее всего во первом случае параметр IHL будет учитываться, тогда как у PCF оффсеты фиксированные.