Есть локальная сеть на несколько домов, в каждом доме стоит DES-3526. Запущен DHCP сервер по адресу 10.34.1.1
iP адресация внутри сети 10.34.x.x
Так же внутри сети есть индивидум который запустил свой DHCP сервер (сам того не зная) по адресу 192.168.1.1
Теперь вопросы:
1) Можно ли с помощью DES-3526 блокировать все широковещательные запросы DHCP со всех адресов кроме 10.34.1.1
2) Можно ли заблокировать доступ через DES-3526 для всех iP кроме 10.34.x.x
То есть в конечном итоге мы должны запретить другим машинам в локальной сети получать ip от этого DHCP(192.168.1.1) сервера.

Хотелось бы услышать не только ответы "да/нет". Но в случае ответа "Да" получить название команды которую нада будет "копать", чтобы получить требуемый результат.

Заранее благодарен.

Смотрим http://www.d-link.ru/products/prodview. ... =13&id=407
Видим:
Access Control List
Многоуровневые ACL на основе:
Номер порта TCP/UDP (на основе приложений, определенных пользователем)

Теперь открываем инструкцию (у меня такого нет, так что изучать нечего) и изучаем вопрос с целью "повесить" ACL с запретом DHCP (67/udp, 68/udp с учётом in/out) на все порты кроме "законного" DHCP-сервера.

Почти 6 часов игрался с опциями так и не смог сделать...
самое обидное что ненашел настройки in/out

Создал правила
create access_profile ip udp dst_port_mask 0x67 profile_id 1
config access_profile profile_id 1 add access_id 50 ip udp dst_port 67 port 2-26 deny

create access_profile ip udp dst_port_mask 0x68 profile_id 2
config access_profile profile_id 2 add access_id 50 ip udp dst_port 68 port 2-26 deny

Кто подскажит где и как дописать in/out, а то данные правила просто все блокируют по DHCP на портах 2-26.. (1-ый порт аллинк)
Пробовал индивидуально ставить правила, только на 67 или только на 68 порт, все равно... или запрос отвергнем, или ответ не пропустим.
Помогите plz, а то уже с ума схожу...

Не видя устройство подсказать тяжело...
Попробуй разрешить ответы DHCP только от IP товего "законного" сервера. Остальные запретить.

Пробовал, но он не сохраняет iP сервера. Такое ощущение что нада указать как сорс iP, так и Дест iP, при явном указании дест iP без сорс iP правило создается без указанного iP.
Пробовал долго и муторно... Завтра еще целый день буду возится с этой штукой.
А вообще спасибо за то что откликнулся. Если разберусь, напишу как сделал. А если знающие люди подскажут (именно по этой модели) буду премного благодарен.

Задаются только IP или IP:mask (тогда в качестве "ALL" используй 0.0.0.0:0.0.0.0) или диапазон IP1-IP2 (тогда используй 0.0.0.0 - 255.255.255.255)?

Пытался создать правило

create access_profile ip udp dst_port_mask 0x67 profile_id 1
config access_profile profile_id 1 add access_id 50 ip source_ip 0.0.0.0 destination_ip 255.255.255.255 udp dst_port 67 port 2-26 deny

В итоге iP не сохраняется, правила выглядят так:
Access Profile Table

Access Profile ID : 1
Type : IP Frame Filter - UDP
Masks :
DSCP Dst.P
----- -----
67
Access ID: 50
Mode : Deny
Port : 2
----- -----
xx-xx 67

Да и все равно оно не спасет.

Пробовал сначала разрешить все запросы на мак законного DHCP сервера, а потом все блокировать... не помогло
create access_profile ip udp dst_port_mask 0x67 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet destination_mac 00-04-75-87-8E-55 port 2-26 permit
config access_profile profile_id 1 add access_id 50 ip udp dst_port 67 port 2-26 deny
(мак адрес просто не сохранялся)

Далее пошел другим путем:
Создал разрешение на мак адрес своего законного DHCP сервера
create access_profile ethernet destination_mac 00-04-75-87-8E-55 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet destination_mac 00-04-75-87-8E-55 port 2-26 permit
Затем поставил обычный запрет на 67 порт UDP
create access_profile ip udp dst_port_mask 0x67 profile_id 5
config access_profile profile_id 5 add access_id 50 ip udp dst_port 67 port 2-26 deny
И опять провал, DHCP запросы пропускаются, причем все. На нужный мак, или на левый.. И соответственно получаем iP как от законного DHCP сервера, так и от левого...

Хотелось бы услышать коменты специалистов D-Link, каким образом на данном коммутаторе можно запретить входящие!! запросы UDP 67 на портах 2-26 (оставить только первый порт).
Мои правила не смотрят входящий запрос или исходящий. Блокируют на корню.
Так же я заметил в описании такую вещь как flag_mask, но оно работает только с TCP запросами

Меня смущает вот это (выделил жирным) - "create access_profile ip udp dst_port_mask 0x67 profile_id 1". Почему именно dst_port_mask, а не просто dst_port?

P.S. Я ещё раз на всякий случай повторю, что я это устройство не знаю и пытаюсь понять вместе с Вами с Ваших слов.

В общем:
Если есть возможность назначить правило на каждый порт, то на до на всех "незаконных портах" запретить:
1. отправку в порт (то есть от коммутатора к компу на этом порту) всех пакетов UDP dst_port=67
2. приём из порта (то есть от компа на этом порту в коммутатор) всех пакетов UDP dst_port=68

Если такой возможности нет, то можно просто блокировать на уровне коммутатора все пакеты UDP dst_port=68 src_MAC<>"законный"

Artful, Ваше л.с. читал, но ответить не могу:

Отвечаю сюда:
Спасибо, но просто ради любытства, наверное нет. Времени мало...
Если же Вам действительно нужна помощь, то могу попробовать - пишите в л.с. или на эл.почту в профиле условия и время - попробую...