1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб авг 02, 2025 14:39

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
msh_2
 Заголовок сообщения: DES-3526 ACL
СообщениеДобавлено: Вс мар 26, 2006 00:07 
Не в сети

Зарегистрирован: Вс мар 19, 2006 21:57
Сообщений: 6
Откуда: msk
Добрый день!
1)как реализовать с помощью ACL режим работы - что не разрешено то запрещено?
в инструкции не нашел :(
2) как сделать правило под котое попадают все IP пакеты ?
делаю так:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 1.0.0.0 port 3 deny
и все равно через порт 3 управлюющий интерфейс свитча пингуется
Вернуться наверх
 Профиль  
 
Pershin Sergey
 Заголовок сообщения: Re: DES-3526 ACL
СообщениеДобавлено: Вс мар 26, 2006 01:17 
Не в сети

Зарегистрирован: Чт ноя 24, 2005 02:57
Сообщений: 33
Откуда: Moscow
msh_2 писал(а):
управлюющий интерфейс свитча пингуется


в этом-то и дело
пингуйте устройство за другим портом свитча
Вернуться наверх
 Профиль  
 
Vladislav Karagezov
 Заголовок сообщения: Re: DES-3526 ACL
СообщениеДобавлено: Пн мар 27, 2006 09:57 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
msh_2 писал(а):
Добрый день!
1)как реализовать с помощью ACL режим работы - что не разрешено то запрещено?
в инструкции не нашел :(
2) как сделать правило под котое попадают все IP пакеты ?
делаю так:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 1.0.0.0 port 3 deny
и все равно через порт 3 управлюющий интерфейс свитча пингуется

интерфейс управления свичем вынесите в отдельный VLAN
задайте разрешеющие правила, последним задайте правило "запретить все"

_________________
С уважением, Карагезов Владислав
Вернуться наверх
 Профиль  
 
msh_2
 Заголовок сообщения: Re: DES-3526 ACL
СообщениеДобавлено: Ср мар 29, 2006 14:40 
Не в сети

Зарегистрирован: Вс мар 19, 2006 21:57
Сообщений: 6
Откуда: msk
Vladislav Karagezov писал(а):
msh_2 писал(а):
Добрый день!
последним задайте правило "запретить все"


Вот как корректно задать правило 'запретить все' я в инструкции и не нашел :(
Вернуться наверх
 Профиль  
 
Vladislav Karagezov
 Заголовок сообщения: Re: DES-3526 ACL
СообщениеДобавлено: Ср мар 29, 2006 15:26 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
msh_2 писал(а):
Vladislav Karagezov писал(а):
msh_2 писал(а):
Добрый день!
последним задайте правило "запретить все"


Вот как корректно задать правило 'запретить все' я в инструкции и не нашел :(

см. пример
http://www.dlink.ru/technical/faq_hub_switch_47.php

по аналогии разберетесь?

_________________
С уважением, Карагезов Владислав
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения: Re: DES-3526 ACL
СообщениеДобавлено: Чт мар 30, 2006 20:11 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
msh_2 писал(а):
как реализовать с помощью ACL режим работы - что не разрешено то запрещено?
вот пример того что вам надо... у меня именно так кое где и работает
Код:
#
# profile_id 1
# разрешаем ARP
#
# profile_id 2
# запрещаем ненужные МАС-и
#
# profile_id 3
# разрешаем DHCP запросы
# запрещаем DHCP ответы на юзерских портах
# разрешаем менеджер точек
# разрешаем менеджер свичей
#
# profile_id 4
# запрещаем всевозможные бродкасты
#
# profile_id 5
# разрешаем нужные протоколы
#
# profile_id 6
# разрешаем dst TCP порты
#
# profile_id 7
# разрешаем dst UDP порты
#
# profile_id 8
# разрешаем src TCP порты
#
# profile_id 9
# запрещаем весь возможный траффик
#

delete access_profile profile_id 1
create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x806 port 1-26 permit

delete access_profile profile_id 2
create access_profile ethernet source_mac ff-ff-ff-ff-ff-ff profile_id 2
#config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 2-26 deny

delete access_profile profile_id 3
create access_profile ip udp src_port_mask 0xffff profile_id 3
config access_profile profile_id 3 add access_id  1 ip udp src_port    68 port 2-26 permit priority 7
config access_profile profile_id 3 add access_id 26 ip udp src_port    67 port 2-26 deny
config access_profile profile_id 3 add access_id 51 ip udp src_port 64512 port 2-26 permit priority 7
config access_profile profile_id 3 add access_id 76 ip udp src_port 64515 port 2-26 permit priority 7

delete access_profile profile_id 4
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 4
config access_profile profile_id 4 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 2-26 deny

delete access_profile profile_id 5
create access_profile ip protocol_id_mask 0xff profile_id 5
config access_profile profile_id 5 add access_id  1 ip protocol_id  1 port 2-26 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 5 add access_id 26 ip protocol_id 47 port 2-26 permit priority 7 replace_priority replace_dscp_with 63

delete access_profile profile_id 6
create access_profile ip tcp dst_port_mask 0xffff profile_id 6
config access_profile profile_id 6 add access_id   1 ip tcp dst_port   20 port 2-26 permit
config access_profile profile_id 6 add access_id  26 ip tcp dst_port   21 port 2-26 permit
config access_profile profile_id 6 add access_id  51 ip tcp dst_port   80 port 2-26 permit
config access_profile profile_id 6 add access_id  76 ip tcp dst_port  443 port 2-26 permit
config access_profile profile_id 6 add access_id 101 ip tcp dst_port 1723 port 2-26 permit priority 7 replace_priority replace_dscp_with 63

delete access_profile profile_id 7
create access_profile ip udp dst_port_mask 0xffff profile_id 7
config access_profile profile_id 7 add access_id   1 ip udp dst_port    53 port 2-26 permit priority 7 replace_priority
config access_profile profile_id 7 add access_id  26 ip udp dst_port    69 port 2-26 permit priority 7 replace_priority
config access_profile profile_id 7 add access_id  51 ip udp dst_port   123 port 2-26 permit
config access_profile profile_id 7 add access_id  76 ip udp dst_port   162 port 2-26 permit priority 7
config access_profile profile_id 7 add access_id 101 ip udp dst_port 27015 port 2-26 permit
config access_profile profile_id 7 add access_id 126 ip udp dst_port 27016 port 2-26 permit

delete access_profile profile_id 8
create access_profile ip tcp src_port_mask 0xffff profile_id 8
config access_profile profile_id 8 add access_id  1 ip tcp src_port 23 port 2-26 permit priority 7
config access_profile profile_id 8 add access_id 26 ip tcp src_port 80 port 2-26 permit priority 7

delete access_profile profile_id 9
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 2-26 deny
если что "по аналогии разберетесь?"(с)В.Карагезов :)
ну или пишите... постараюсь помочь ;)
Вернуться наверх
 Профиль  
 
msh_2
 Заголовок сообщения: Re: DES-3526 ACL
СообщениеДобавлено: Чт мар 30, 2006 22:22 
Не в сети

Зарегистрирован: Вс мар 19, 2006 21:57
Сообщений: 6
Откуда: msk
snark писал(а):
# profile_id 1
# разрешаем ARP
#
delete access_profile profile_id 1
create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x806 port 1-26 permit


спасибо!

а не опрометчиво так вот разрешать полностью ARP?
может ARP reply тоже профильтровать лучше (например по IP отправителя)

где 0й offset при фильтрации по packet_content ?
по непроверенным сведениям с начала ethernet кадра, т.е по нулевому смещению лежит старщий байт dst_mac

я прав?
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения: Re: DES-3526 ACL
СообщениеДобавлено: Пт мар 31, 2006 07:34 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
msh_2 писал(а):
а не опрометчиво так вот разрешать полностью ARP?
может ARP reply тоже профильтровать лучше (например по IP отправителя)
меня такой вариант правил устраивает (я же L2 сеть строю), т.к. он делает то что было задумано изначально (собсно идея сверху описана)... когда придет время я перепишу эти правила под режим "разрешен только IP за исключением паразитного +- трамвайная остановка"
msh_2 писал(а):
где 0й offset при фильтрации по packet_content ?
я ведь писал _свои_ правила под _свою_ задачу... если Вам надо 0-й offset - напишите ;) в свичах довольно гибкие ACL, не как в DAS-32xx конечно (а жаль :( ), но не хуже... они позволят Вам воплотить _Вашу_ идею так как _Вам_ нужно и под _Ваши_ задачи ;) ведь Вы же просили пример, а не конкретику...
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 19

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB