Пытаюсь запретить пользователям запретить ходить по общим сетевым ресурсам, броадкастить и раздавать адреса через DHCP своими ADSL модемами. Для этого создаю следующие правила:

create filter rule entry ruleid 3 action drop ruleprio high ruledir in
create filter subrule udp ruleid 3 subruleid 1 dstportfrom 67 dstportto 69 srcportcmp any dstportcmp inrange subruleprio high
create filter subrule udp ruleid 3 subruleid 2 dstportfrom 135 dstportto 139 srcportcmp any dstportcmp inrange subruleprio high
create filter subrule udp ruleid 3 subruleid 3 dstportfrom 445 srcportcmp any dstportcmp eq subruleprio high
create filter subrule ether ruleid 3 subruleid 10 dstmacaddrfrom FF:FF:FF:FF:FF:FF srcmacaddrcmp any dstmacaddrcmp eq ethertypefrom 0x800 ethertypecmp eq subruleprio high
modify filter rule entry ruleid 3 status enable

create filter rule entry ruleid 4 action drop ruleprio high ruledir in
create filter subrule tcp ruleid 4 subruleid 2 dstportfrom 135 dstportto 139 srcportcmp any dstportcmp inrange subruleprio high
create filter subrule tcp ruleid 4 subruleid 3 dstportfrom 445 srcportcmp any dstportcmp eq subruleprio high
modify filter rule entry ruleid 4 status enable

create filter rule map ifname eth-0 stageid 1 ruleid 3
create filter rule map ifname eth-0 stageid 2 ruleid 4
create filter rule map ifname eoa-21 stageid 1 ruleid 3
create filter rule map ifname eoa-21 stageid 2 ruleid 4

Вроде все применяется - но ничего не работает. Пользователи как ходили на общие сетевые ресурсы по Netbios - так и ходят.
Все настроенно бриждем.

Уважаемая техподдержка, подскажите пожалуйста, что я делаю не так?

Еще вопрос - прошил на DAS3224 новую прошивку - : COL2.10.2.0.051206
CPSwVersion(Build): 2.10.2D.1000.ADSL2+ PRIMARY
Перестали подниматься у клиентов ADSL модемы Netgear - DG632
Модемы D-link работают без проблем..
Эта прошивка нормальная или не зря ее убрали с FTP для DAS3248 ?

Чуть модифицировал правила, в соответствии с тем, что нашел на форуме.


create filter rule entry ruleid 3 action drop ruleprio high ruledir in
create filter subrule udp ruleid 3 subruleid 1 dstportfrom 67 dstportto 69 srcportcmp any dstportcmp inrange transporthdr ethernet subruleprio high
create filter subrule udp ruleid 3 subruleid 2 dstportfrom 135 dstportto 139 srcportcmp any dstportcmp inrange transporthdr ethernet subruleprio high
create filter subrule udp ruleid 3 subruleid 3 dstportfrom 445 srcportcmp any dstportcmp eq transporthdr ethernet subruleprio high
create filter subrule ether ruleid 3 subruleid 10 dstmacaddrfrom FF:FF:FF:FF:FF:FF srcmacaddrcmp any dstmacaddrcmp eq ethertypefrom 0x800 ethertypecmp eq subruleprio high
modify filter rule entry ruleid 3 status enable

create filter rule entry ruleid 4 action drop ruleprio high ruledir in
create filter subrule tcp ruleid 4 subruleid 2 dstportfrom 135 dstportto 139 srcportcmp any dstportcmp inrange transporthdr ethernet subruleprio high
create filter subrule tcp ruleid 4 subruleid 3 dstportfrom 445 srcportcmp any dstportcmp eq transporthdr ethernet subruleprio high
modify filter rule entry ruleid 4 status enable

create filter rule map ifname eth-0 stageid 1 ruleid 3
create filter rule map ifname eth-0 stageid 2 ruleid 4
create filter rule map ifname eoa-21 stageid 1 ruleid 3
create filter rule map ifname eoa-21 stageid 2 ruleid 4


Все равно без проблем цепляюсь к общим ресурсам как с Adsl клиента (22 порт) к компьютеру, подключенному к UPLINK1, так и наоборот - с компьютера подключенного к UPLINK1 к ADSL клиенту.
Commit делал, DAS перезагружал, не помогло..

Для каждого из условий надо создать свое правило. Дело в том, что подправила сравниваются логическим "И". Поэтому написанные Вами правила смысла не имеют. Должно быть:

create filter rule entry ruleid 3 action drop ruleprio high ruledir in
create filter subrule udp ruleid 3 subruleid 1 dstportfrom 67 dstportto 69 srcportcmp any dstportcmp inrange transporthdr ethernet subruleprio high
modify filter rule entry ruleid 3 status enable

create filter rule entry ruleid 4 action drop ruleprio high ruledir in
create filter subrule udp ruleid 4 subruleid 1 dstportfrom 135 dstportto 139 srcportcmp any dstportcmp inrange transporthdr ethernet subruleprio high
modify filter rule entry ruleid 4 status enable

create filter rule entry ruleid 5 action drop ruleprio high ruledir in
create filter subrule udp ruleid 5 subruleid 1 dstportfrom 445 srcportcmp any dstportcmp eq transporthdr ethernet subruleprio high
modify filter rule entry ruleid 5 status enable

create filter rule entry ruleid 6 action drop ruleprio high ruledir in
create filter subrule tcp ruleid 6 subruleid 1 dstportfrom 135 dstportto 139 srcportcmp any dstportcmp inrange transporthdr ethernet subruleprio high
modify filter rule entry ruleid 6 status enable

create filter rule entry ruleid 7 action drop ruleprio high ruledir in
create filter subrule tcp ruleid 7 subruleid 1 dstportfrom 445 srcportcmp any dstportcmp eq transporthdr ethernet subruleprio high
modify filter rule entry ruleid 7 status enable

create filter rule map ifname eth-0 stageid 1 ruleid 3
create filter rule map ifname eth-0 stageid 1 ruleid 4
create filter rule map ifname eth-0 stageid 1 ruleid 5
create filter rule map ifname eth-0 stageid 1 ruleid 6
create filter rule map ifname eth-0 stageid 1 ruleid 7
create filter rule map ifname eoa-21 stageid 1 ruleid 3
create filter rule map ifname eoa-21 stageid 2 ruleid 4
create filter rule map ifname eoa-21 stageid 2 ruleid 5
create filter rule map ifname eoa-21 stageid 2 ruleid 6
create filter rule map ifname eoa-21 stageid 2 ruleid 7

Возможен ещё такой вариант (на примере ruleid 4):

create filter rule entry ruleid 4 action drop ruleprio high ruledir in
create filter subrule tcp ruleid 4 subruleid 2 dstportfrom 135 dstportto 445 srcportcmp any dstportcmp inrange transporthdr ethernet subruleprio high
create filter subrule tcp ruleid 4 subruleid 3 dstportfrom 140 dstportto 444 srcportcmp any dstportcmp exrange transporthdr ethernet subruleprio high
modify filter rule entry ruleid 4 status enable

общая идея была такая:
- разрешить ARP
- разрешить работу DHCP сервера через бродкасты
- запретить возможность подмены DHCP сервера
- запретить всевозможные бродкасты
- приоретезировать через DSCP и 802.1P нужный мне протокол #47 aka GRE и ТСР 1723 т.к. у меня инет раздается по РРТР
- запретить ненужные мне TCP/UDP порты
- разрешить прохождение _только_ IP протокола, т.к. IPX, Appletalk сотоварищи мне просто не нужны

решил это делать вот так (ТСР 1723 тут нет):
потом соотвественно это все прикрутить к интерфейсуя не понял толком как именно указать нужные мне значения DSCP/802.1Р в 6-м правиле

гуру ACL строения, подскажите, где я накосяпорил и будет ли вообще _такое_ работать так как задумано?

Правила с 1 по 5 и 9,10 вроде должны работать как надо. Правила 7 и 8 НЕ будут работать как Вам надо - перепишите их по принципу, указанному Виктором Платовым или мною. Правило 6 просто пропустит GRE - для приоритезации Вам понадобится actionmap. Да, в create filter rule map ещё обязательно указывать orderid. Мы везде используем одинаковый orderid 1.

т.е. небходимо указать ruledir in, верно? если так, то тогда направление надо указывать на всех правилах, т.к. я хотел бы применять их именно для входящих пакетов...а вот тут поподробне пожалуйста спасибо, учтем...

З.Ы. правильно ли я думаю что можно объеденить правила 3 и 4, т.к. там фильтрация идет по UDP? ну или вообще объединять правила по принципу того что фильтруем, я прав?

Переделал свои правила
Вроде заработало.

create filter rule entry ruleid 3 action drop ruleprio high ruledir in
create filter subrule udp ruleid 3 subruleid 1 dstportfrom 135 dstportto 445 srcportcmp any dstportcmp inrange transporthdr ethernet subruleprio AsInRule
create filter subrule udp ruleid 3 subruleid 2 dstportfrom 140 dstportto 444 srcportcmp any dstportcmp exrange transporthdr ethernet subruleprio AsInRule
modify filter rule entry ruleid 3 status enable

create filter rule entry ruleid 5 action drop ruleprio high ruledir in
create filter subrule tcp ruleid 5 subruleid 1 dstportfrom 135 dstportto 445 srcportcmp any dstportcmp inrange transporthdr ethernet subruleprio AsInRule
create filter subrule tcp ruleid 5 subruleid 2 dstportfrom 140 dstportto 444 srcportcmp any dstportcmp exrange transporthdr ethernet subruleprio AsInRule
modify filter rule entry ruleid 5 status enable

create filter rule entry ruleid 4 action drop ruleprio high ruledir in
create filter subrule ether ruleid 4 subruleid 1 dstmacaddrfrom FF:FF:FF:FF:FF:FF srcmacaddrcmp any dstmacaddrcmp eq ethertypefrom 0x800 ethertypecmp eq subruleprio high
modify filter rule entry ruleid 4 status enable

create filter rule entry ruleid 6 action drop ruleprio high ruledir in
create filter subrule udp ruleid 6 subruleid 1 dstportfrom 67 dstportto 69 srcportcmp any dstportcmp inrange transporthdr ethernet subruleprio high
modify filter rule entry ruleid 6 status enable

create filter rule entry ruleId 20 action allow rulePrio high
create filter SubRule ether ruleId 20 SubRuleId 1 EtherTypeFrom 0x800 EtherTypeCmp eq SubrulePrio AsInRule
modify filter rule entry ruleId 20 status enable

create filter rule entry ruleId 21 action allow rulePrio high
create filter SubRule ether ruleId 21 SubRuleId 1 EtherTypeFrom 0x806 EtherTypeCmp eq SubrulePrio AsInRule
modify filter rule entry ruleId 21 status enable

create filter rule entry ruleId 22 action drop rulePrio high
create filter SubRule ether ruleId 22 SubRuleId 1 EtherTypeCmp any SubrulePrio AsInRule
modify filter rule entry ruleId 22 status enable



create filter rule map ifname eth-0 stageid 1 orderid 3 ruleid 3
create filter rule map ifname eth-0 stageid 1 orderid 4 ruleid 4
create filter rule map ifname eth-0 stageid 1 orderid 5 ruleid 5
create filter rule map ifname eth-0 stageid 1 orderid 6 ruleid 6
create filter rule map ifname eth-0 stageid 2 orderid 20 ruleid 20
create filter rule map ifname eth-0 stageid 2 orderid 21 ruleid 21
create filter rule map ifname eth-0 stageid 2 orderid 22 ruleid 22

create filter rule map ifname eoa-21 stageid 1 orderid 3 ruleid 3
create filter rule map ifname eoa-21 stageid 1 orderid 4 ruleid 4
create filter rule map ifname eoa-21 stageid 1 orderid 5 ruleid 5
create filter rule map ifname eoa-21 stageid 1 orderid 6 ruleid 6
create filter rule map ifname eoa-21 stageid 2 orderid 20 ruleid 20
create filter rule map ifname eoa-21 stageid 2 orderid 21 ruleid 21
create filter rule map ifname eoa-21 stageid 2 orderid 22 ruleid 22

Я имел в виду не ruledir in, а то, что для срабатывания правила должны выполниться ВСЕ subrule. В вашем случае правило 8 ловит только те пакеты, у которых dstport одновременно 42, 137-138, 1900. Чего не бывает.

Соотв. рабочий вариант такой:
create filter rule entry ruleId 8 action drop ruledir in rulePrio high
create filter SubRule udp ruleId 8 SubRuleId 1 DstPortFrom 42 DstPortTo 1900 DstPortCmp inrange SubrulePrio AsInRule
create filter SubRule udp ruleId 8 SubRuleId 2 DstPortFrom 43 DstPortTo 136 DstPortCmp exrange SubrulePrio AsInRule
create filter SubRule udp ruleId 8 SubRuleId 3 DstPortFrom 139 DstPortTo 1899 DstPortCmp exrange SubrulePrio AsInRule
modify filter rule entry ruleId 8 status enable


Пока ничего не могу сказать подробнее - руки не доходят до экспериментов с actionmap. Если хотите - create filter rule actionmap ?


В принципе - да, можно (с помощью 2 subrule: inrange и exrange)

ага... вот это оч. важное уточнение... впрочем В.Платов писал про "и", я что то это упустил из виду рабочий ли? может тогда проще и удобнее каждое правило в отдельное rule entry вынести? а то каша какая то получается...

Если все хочется сделать на одном интерфейсе (ingress), то нужно применять многоэтапную фильтрацию: на первом этапе, например, менять приоритет и TOS (DSCP DAS-3224/3248 ставить не умеет), а на втором пропускать нужные пакеты и отбрасывать все остальные.
Можно разделить процедуру на два этапа и два интерфейса (ingress и egress): на входе отбасывать ненужное, а на выходе помечать нужные пакеты.
Actionmap в данном случае неприменим.

здравствуйте уважаемый! разъясните мне пожалуйста по русски где именно я не прав в написании ACL... грубо говоря - ткните носом... а то возвышенные беседы мы все можем вести, а хочется конкретики насчет своих ошибок... спасибо

вот что получилось, благодаря подсказкам:вроде работает... во всяком случае снифером за DLSM-ом того что блокируется не видно