1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб авг 16, 2025 10:06

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Tsaran
 Заголовок сообщения: ACL 3627G
СообщениеДобавлено: Пт дек 19, 2008 11:15 
Не в сети

Зарегистрирован: Сб дек 02, 2006 10:44
Сообщений: 23
Прочел по поиску темы по запросу ACL, в частности viewtopic.php?t=66343 и http://dlink.ru/technical/faq_hub_switch_90.php

Возник вопрос. Требуется закрыть в сети ненужные порты (нетбиос и т.п.), оставив их открытыми для некоторых айпи (около 10 статических адресов).

Айпи, для которых должно быть открыто — из разных подсетей и принадлежат разным вланам и относятся к разным портам.


Собственно вопрос, как лучше выстроить алгоритм построения правил ACL, чтобы и меньше профилей использовать и покрасивее это исполнить.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пт дек 19, 2008 11:24 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Единственный вариант сначала открыть отдельным профилем для определённых адресов а потом закрыть для остальных.
Вернуться наверх
 Профиль  
 
Tsaran
 Заголовок сообщения:
СообщениеДобавлено: Пн дек 22, 2008 06:39 
Не в сети

Зарегистрирован: Сб дек 02, 2006 10:44
Сообщений: 23
Таким образом, достаточно будет разрешающих правил?

Код:
create access_profile profile_id 3 ip source_ip_mask 255.255.255.255
config access_profile profile_id 3 add access_id 1 ip source_ip 10.0.0.1 port 1-24 permit
config access_profile profile_id 3 add access_id 2 ip source_ip 10.1.0.1 port 1-24 permit
...

и
Код:
create access_profile profile_id 4 ip dst_ip_mask 255.255.255.255
config access_profile profile_id 4 add access_id 1 ip dst_ip 10.0.0.1 port 1-24 permit
config access_profile profile_id 4 add access_id 2 ip dst_ip 10.1.0.1 port 1-24 permit
...


Или придется для каждого порта (имею ввиду tcp/udp порты) писать разрешающее правило?

Ну а 5-м (для tcp) и 6-м (для udp) правилами уже режем для всех (если без packet_content_mask обойтись)

Код:
create access_profile ip tcp dst_port_mask 0xffff profile_id 5
config access_profile profile_id 5 add access_id 1 ip tcp dst_port 135 port 1-24 deny
config access_profile profile_id 5 add access_id 2 ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 5 add access_id 3 ip tcp dst_port 369 port 1-24 deny
config access_profile profile_id 5 add access_id 4 ip tcp dst_port 445 port 1-24 deny
config access_profile profile_id 5 add access_id 5 ip tcp dst_port 593 port 1-24 deny
config access_profile profile_id 5 add access_id 6 ip tcp dst_port 2869 port 1-24 deny
config access_profile profile_id 5 add access_id 7 ip tcp dst_port 5000 port 1-24 deny
и т.д.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 23, 2008 17:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Если нужно разрешить все порты с этих адресов то нормально.
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 23, 2008 20:58 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
т.к. свичи фильтруют только на входе, то в общем то "profile_id 4" Вам и не нужен ... 5-й и 6-й профили можете привести к виду:
Код:
create access_profile profile_id 5                           ip tcp dst_port_mask 0xffff
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port         135 port 1-24 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port         137 port 1-24 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port         138 port 1-24 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port         139 port 1-24 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port         445 port 1-24 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port        2869 port 1-24 deny

create access_profile profile_id 6                           ip udp dst_port_mask 0xffff
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port         135 port 1-24 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port         137 port 1-24 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port         138 port 1-24 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port         139 port 1-24 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port         445 port 1-24 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port        1900 port 1-24 deny
в принципе этого хватит чтобы закрыть большую часть "мусора" ...

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Tsaran
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 24, 2008 02:23 
Не в сети

Зарегистрирован: Сб дек 02, 2006 10:44
Сообщений: 23
Иван и snark, спасибо.
Вернуться наверх
 Профиль  
 
pvl
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 24, 2008 09:56 
Не в сети

Зарегистрирован: Вт сен 18, 2007 08:57
Сообщений: 306
Откуда: SPb
Ого, действительно Иван и snark, спасибо. :)

а может быть знающие люди подскажут .. как по аналогии, запретить на потах 1-22 ...ээ, запретить там быть DHCP серверам и IP броадкаст? Вроде бы всё понятно, но есть сомнения. :roll:
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 24, 2008 13:22 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
pvl писал(а):
как по аналогии, запретить на потах 1-22 ...ээ, запретить там быть DHCP серверам и IP броадкаст?
сделайте так:
Код:
# TCP
create access_profile                                        ip tcp dst_port_mask 0xffff profile_id 5
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port          53 port 1-24 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port         135 port 1-24 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port         139 port 1-24 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port         445 port 1-24 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port        2869 port 1-24 deny


# UDP
create access_profile                                        ip udp dst_port_mask 0xffff profile_id 6
# разрешаем пользоваться DHCP сервером
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port          67 port 1-24 permit
# запрещаем быть DHCP сервером
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port          68 port 1-24 deny
# "мусор"
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port         137 port 1-24 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port         138 port 1-24 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port         445 port 1-24 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port        1900 port 1-24 deny


# бродкасты
create access_profile profile_id 7                           ethernet destination_mac ff-ff-ff-ff-ff-ff
config access_profile profile_id 7 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny
чем обрубите все основное чем может засорять сеть M$ Windows ...

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
pvl
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 24, 2008 13:34 
Не в сети

Зарегистрирован: Вт сен 18, 2007 08:57
Сообщений: 306
Откуда: SPb
о, спс.
Вернуться наверх
 Профиль  
 
pvl
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 03, 2009 13:21 
Не в сети

Зарегистрирован: Вт сен 18, 2007 08:57
Сообщений: 306
Откуда: SPb
Цитата:
# бродкасты
create access_profile profile_id 7 ethernet destination_mac ff-ff-ff-ff-ff-ff
config access_profile profile_id 7 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny


...хм, похоже это запрещает все бродкасты.

а как на DGS-36227G разрешить ethernet_type 0x806 и запретить ethernet_type 0x800 ?
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 03, 2009 14:54 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
pvl писал(а):
Цитата:
# бродкасты
create access_profile profile_id 7 ethernet destination_mac ff-ff-ff-ff-ff-ff
config access_profile profile_id 7 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny


...хм, похоже это запрещает все бродкасты.

а как на DGS-36227G разрешить ethernet_type 0x806 и запретить ethernet_type 0x800 ?

так же как и везде. добавить разрешающий профиль для 806 впереди запрещающего.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 17

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB