faq обучение настройка
Текущее время: Пт июл 11, 2025 16:29

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: ACL
СообщениеДобавлено: Вт янв 13, 2009 09:01 
Не в сети

Зарегистрирован: Чт июн 05, 2008 17:24
Сообщений: 6
Доброго времени суток.
Вопрос такой, при создании на коммутаторе DES-3028 следующих ACL:

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 1 ip tcp dst_port 135 port 1-24 deny
config access_profile profile_id 3 add access_id 2 ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 3 add access_id 3 ip tcp dst_port 369 port 1-24 deny
config access_profile profile_id 3 add access_id 4 ip tcp dst_port 445 port 1-24 deny
config access_profile profile_id 3 add access_id 5 ip tcp dst_port 593 port 1-24 deny
config access_profile profile_id 3 add access_id 6 ip tcp dst_port 2869 port 1-24 deny
config access_profile profile_id 3 add access_id 7 ip tcp dst_port 5000 port 1-24 deny

create access_profile ip udp dst_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id 1 ip udp dst_port 137 port 1-24 deny
config access_profile profile_id 4 add access_id 2 ip udp dst_port 138 port 1-24 deny
config access_profile profile_id 4 add access_id 3 ip udp dst_port 1900 port 1-24 deny

возникает проблема, что после этого можно добавить еще всего 15 правил, а потом "Not enough room for this rule".

Т.е. на этом коммутаторе может быть всего 25 правил? Или что-то неправильно делаю?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 13, 2009 11:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Если Вы назначаете правила на 24 порта, то используется не одно а 24 правила из списка. Всего правил на этой серии 256. Если Вы назначите эти же правила на все 28 портов то у Вас уже будет использоваться на каждую запись одно правило.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 13, 2009 12:46 
Не в сети

Зарегистрирован: Чт июн 05, 2008 17:24
Сообщений: 6
Спасибо. А может тогда подскажете, как на данной модели без помощи списков доступа запретить NetBIOS трафик.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 13, 2009 13:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Никак. Только при помощи ACL.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср янв 14, 2009 10:31 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
вместо Ваших ACL, используйте такие:
Код:
create access_profile                                        ip tcp dst_port_mask 0xffff profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port         135 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port         139 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port         445 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port        2869 port 1-28 deny

create access_profile                                        ip udp dst_port_mask 0xffff profile_id 4
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port         137 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port         138 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port         445 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port        1900 port 1-28 deny
и все у Вас будет хорошо ;)

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср янв 14, 2009 11:23 
Не в сети

Зарегистрирован: Вт авг 08, 2006 18:42
Сообщений: 195
Откуда: Moscow
2 snark:
А кого рубите на TCP 2869 и UDP 1900?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср янв 14, 2009 12:24 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
BuHast писал(а):
А кого рубите на TCP 2869 и UDP 1900?

UPnP ;) по хорошему конечно надо еще и ТСР 5000 рубить тоже, но думаю что сейчас это уже лишнее ...

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср янв 14, 2009 12:27 
Не в сети

Зарегистрирован: Вт авг 08, 2006 18:42
Сообщений: 195
Откуда: Moscow
2 snark:
Спасибо, взял на заметку
*яростно пишет в секретном блокноте, прикрывшись рукой


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 36


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB