Здравствуйте.


В FAQ не нашел точного ответа. Поправьте меня пожалуйста если где-то ошибаюсь.

Насколько я понял правила действуют только для IP пакетов. Пакет проходит через правила поочередно, через каждый access_profile от младшего id к старшему. Пакет идет по правилам до тех пор, пока не будет выполнено условие правила:

- Если пакет не попадает не под одно из правил, или правила отсутствуют вовсе, то он продолжит свой путь дальше.
- Если правило разрешающее, пакет продолжит свой путь при этом ниже следущие правила будут игнорироваться.
- Если правило запрещающее, пакет далее не пройдет.



Настраиваю ACL на DES-3526 на прошивке 5.01-B09

Цель настроить address_binding mode acl на некоторых портах таким образом, чтобы разрешался только один MAC и один привязаный к нему IP. При этом необходимо также блокировать весь NetBIOS трафик, и желательно блокировать IPX трафик.

Вот так я создал фильтр на связку ip/mac и NetBIOS

Удаляю все access_profiles если они были и проверяю



Добавляю сначала правила для фильтрации NetBIOS



Теперь добавляю правила пропускающие только определенную пару ip/mac на нужные мне порты




А теперь вот думаю как отфильтровать IPX трафик?

неправильно. остальное все совершенно верно
ACL могут фильтровать что угодно.
Ну, например, протокол ARP (0x806), потом, фильтр по мак адресам это уже на уровне ethernet, а не IP.
Далее, есть такая замечательная замечательная вещь, как Packet Content Mask, по которой Вы можете зафильтровать что угодно и куда угодно, главное правильно слепить шаблон нужного Вам пакета.

_________________
LiveComm

Может кто-нибудь написать самое простое правило запрещающее все с нужного порта?

Есть кто живой?

Правила выполняются строго по номерам профилей и правил и до первого совпадения независимо от действия которое в правиле стоит. Т.е. если совпадение произошло выполняется действие в правиле и дальше проверка не происходит.

Спасибо. Не придумать мне как создать 4 фильтр для всего того что не рарешено...

1 deny filter netbios
2 deny filter extensive_netbios
3 pass access ip/mac

4 deny all

на уровне ethernet по макам. ( мак 00-00-00-00-00-00 маска 00-00-00-00-00-00 )

_________________
LiveComm

Цель запретить протоколы не относящиеся к IP.

Возьмите дамп в сниффере пакета который хотите запретить и используйте правила Packet Content. Примеры чтобы можно было разобраться есть здесь http://www.dlink.ru/technical/faq_hub_switch_90.php
http://www.dlink.ru/technical/faq_hub_switch_115.php
Если будут вопросы задавайте.

create access_profile ethernet source_mac_mask 00-00-00-00-00-00 profile_id 4

config access_profile pofile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny

ethernet как раз и запретит. это же канальный уровень уже.

_________________
LiveComm

Да не догадался, спасибо, попробую.

В общем не работает в выше указанной конструкции фильтр нетбиоса.

Проверял tcp дампом, идут нетбиос запросы с портов на которых включен фильтр. Проверял на версии 5.01 b09

Более того после ребута коммутатора приоритеты аклов меняются на

1 адрес биндинг deny
2 адрес биндинг permit
3 нетбиос фильтр
4 экстендеднетбиос фильтр

Я так понимаю в любом случае фильтр будет в пролете при таких приоритетах.

Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390.