D-Link • Просмотр темы - ACL и DHCP - может чего не понимаю, подскажите

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

ACL и DHCP - может чего не понимаю, подскажите

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 16 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

andrey_p12

Заголовок сообщения: ACL и DHCP - может чего не понимаю, подскажите

Добавлено: Сб дек 27, 2008 10:40

Зарегистрирован: Пт апр 25, 2008 05:39
Сообщений: 12

во всех топиках содержится такая схема фильтрации левых серверов на 3526

config access_profile profile_id add access_id auto_assign ip udp dst_port 67 port 1-24 permit
config access_profile profile_id add access_id auto_assign ip udp dst_port 68 port 1-24 deny

кто-нибудь скажет для чего permit на 67 нужен? в конце ведь никто весь UDP не режет, а если режет, то зачем тогда deny на 68?

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Сб дек 27, 2008 11:10

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

для того, чтобы запретить левые DHCP достаточно прописать permit для 67 на порт с DCHP (например, аплинк коммутатора) и сделать 67 порт deny на всех остальных (клиентских).
68 порт это запросы. Если так

Код:

config access_profile profile_id add access_id auto_assign ip udp dst_port 68 port 1-24 deny 

сделать, то DHCP на этих портах вообще работать не будет, ибо это запросы

_________________
LiveComm

Вернуться наверх

andrey_p12

Заголовок сообщения:

Добавлено: Сб дек 27, 2008 11:19

Зарегистрирован: Пт апр 25, 2008 05:39
Сообщений: 12

Цитата:

Устройство протокола

Протокол DHCP является клиент-серверным, то есть в его работе участвуют клиент DHCP и сервер DHCP. Передача данных производится при помощи протокола UDP, при этом сервер принимает сообщения от клиентов на порт 67 и отправляет сообщения клиентам на порт 68.

http://ru.wikipedia.org/wiki/DHCP

или

Цитата:

DHCP uses UDP as its transport protocol. DHCP messages from a client
to a server are sent to the 'DHCP server' port (67), and DHCP
messages from a server to a client are sent to the 'DHCP client' port
(68

http://www.faqs.org/rfcs/rfc2131.html

udp dst_port 68 port 1-24 deny запрещает правильно насколько я понимаю

Цитата:

для того, чтобы запретить левые DHCP достаточно прописать permit для 67 на порт с DCHP (например, аплинк коммутатора) и сделать 67 порт deny на всех остальных (клиентских).

это в случае когда src_port юзается, имхо

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Сб дек 27, 2008 11:37

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

омг, сорри, я не заметил, что у вас dst. у меня все сделано по примеру из FAQ по src.

_________________
LiveComm

Вернуться наверх

andrey_p12

Заголовок сообщения:

Добавлено: Сб дек 27, 2008 11:39

Зарегистрирован: Пт апр 25, 2008 05:39
Сообщений: 12

тем не менее вопрос остаётся. обязательно ли использовать это лишнее правило? цель - минимизация количества правил, а не праздный интерес

по поводу dst, я им тоже не пользуюсь, но тут везде схема с dst расписана

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Сб дек 27, 2008 11:43

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

думаю достаточно второго - запретить ответ сервера DHCP ( 67 -> 68 ) на клиентских портах.

P.S. у меня на офисном свитче сделано так

Код:

# profile_id 3
# разрешаем DHCP запросы от юзерских портов
# запрещаем DHCP ответы на юзерских портах

create access_profile ip udp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip udp src_port    68 port 1-24 permit
config access_profile profile_id 3 add access_id auto_assign ip udp src_port    67 port 1-24 deny

но в конце

Код:

# profile 100
# Запрещаем все оставшееся на уровне ethernet

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 100
config access_profile profile_id 100 add access_id auto_assign ethernet destination_mac 00-00-00-00-00-00 port 1-24 deny

в вашем случае аналогично.

_________________
LiveComm

Вернуться наверх

andrey_p12

Заголовок сообщения:

Добавлено: Сб дек 27, 2008 12:04

Зарегистрирован: Пт апр 25, 2008 05:39
Сообщений: 12

спасибо огромное, теперь понял, просто у меня нет запрета на бродкаст в конце и не мог додумать для чего 2 правила нужно, когда одного достаточно

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Сб дек 27, 2008 13:03

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

andrey_p12 писал(а):

да не за что. тока это в конце у меня не запрет на брокасты, а запрет на всё вообще.

_________________
LiveComm

Вернуться наверх

andrey_p12

Заголовок сообщения:

Добавлено: Сб дек 27, 2008 13:14

Зарегистрирован: Пт апр 25, 2008 05:39
Сообщений: 12

маску не заметил .... жестко, конечно, но действенно наверное

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Пн янв 12, 2009 20:44

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

andrey_p12 писал(а):

тем не менее вопрос остаётся. обязательно ли использовать это лишнее правило? цель - минимизация количества правил, а не праздный интерес

если нужно сэкономить профили, то включите DHCP Relay и на всех клиентских портах вообще можно запретить порты 67-68 UDP, т.к. на 3526 DHCP Relay работает ДО ACL ...

_________________
с уважением, БП

Вернуться наверх

lexius

Заголовок сообщения:

Добавлено: Вт янв 13, 2009 08:15

Зарегистрирован: Пн апр 25, 2005 08:29
Сообщений: 81

Что-то я не совсем понял... а такой вариант не будет работать? без дополнительных правил в конце... т.е. ответы от сервера могут прилетать только с uplink-ов... или нет?

Код:

create access_profile ip udp src_port 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip udp src_port 67 port 1-24 deny

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Вт янв 13, 2009 10:14

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

да.

_________________
LiveComm

Вернуться наверх

lexius

Заголовок сообщения:

Добавлено: Вт янв 13, 2009 15:25

Зарегистрирован: Пн апр 25, 2005 08:29
Сообщений: 81

и ещё в догонку вопрос - на DGS-3627G dhcp relay тоже перед ACL работает?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт янв 13, 2009 15:28

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Именно.

Вернуться наверх

TPAKTOP

Заголовок сообщения:

Добавлено: Пт янв 16, 2009 09:49

Зарегистрирован: Пт дек 14, 2007 04:38
Сообщений: 47
Откуда: Санкт-Петербург

а эти правила не заменить config filter dhcp_server po 1-24 st en ?

Вернуться наверх

Страница 1 из 2

[ Сообщений: 16 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения