faq обучение настройка
Текущее время: Пт авг 01, 2025 02:34

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: DGS-3627 помогите с ACL
СообщениеДобавлено: Пт май 11, 2007 11:43 
Не в сети

Зарегистрирован: Ср май 09, 2007 13:28
Сообщений: 18
Необходимо через 15 порт с подсети 10.15.0.0 в подсеть 10.0.0.0 на IP 10.0.0.1 обеспечить беспрепятственное прохождение пакетов.

Создаю профиль

create access_profile profile_ id 2 ip source_ip_mask 255.224.0.0 destination_ip_mask 255.255.255.240

Создаю правило

config access_profile profile_id 2 add access_id 1 ip source_ip 10.15
.0.0 destination_ip 10.0.0.1 port 15 permit

Но когда смотрю show access_profile
то вижу src_ip и dst_ip = 10.0.0.0

Что в правилах не так?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 11, 2007 11:46 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Так наверное вот так нужно:

create access_profile profile_ id 2 ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.255

config access_profile profile_id 2 add access_id 1 ip source_ip 10.15
.0.0 destination_ip 10.0.0.1 port 15 permit


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 11, 2007 14:06 
Не в сети

Зарегистрирован: Ср май 09, 2007 13:28
Сообщений: 18
Да, это хорошо, если только из одной подсети и на один IP-адрес, а если подсети с 10.1.0.0 - 10.17.0.0 и IP нужны с 10.0.0.1 - 10.0.0.15

то такой профиль вполне должен подойти?

create access_profile profile_ id 2 ip source_ip_mask 255.224.0.0 destination_ip_mask 255.255.255.240


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 11, 2007 14:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Обясните что это за подсеть такая 10.15.0.0/11. Это не подсеть получается а хост.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 11, 2007 21:02 
Не в сети

Зарегистрирован: Вт фев 01, 2005 20:22
Сообщений: 351
Откуда: Glazov
К сожалению, если необходимо решить поставленную задачу в точности, то одним правилом не обойтись. Однако, если допустимо расширить разрешённые границы SRC_IP и DST_IP и разрешить прохождение пакетов согласно условию
(10.0.0.0-10.31.255.255) -> (10.0.0.0-10.0.0.15)
(или иными словами 10.0.0.0/15 -> 10.0.0.0/28)
то правило, указанное в первом же вашем посте, будет работать.
Только более корректно переформулировать его вот так:
create access_profile profile_ id 2 ip source_ip_mask 255.224.0.0 destination_ip_mask 255.255.255.240
config access_profile profile_id 2 add access_id 1 ip source_ip 10.0.0.0 destination_ip 10.0.0.0 port 15 permit
silver_lion писал(а):
Но когда смотрю show access_profile, то вижу src_ip и dst_ip = 10.0.0.0
Всё правильно: указанные вами маски (src_mask и dst_mask) наложилась (побитовое логическое "И") на src_ip и dst_ip соответственно, "незначащие" биты "порезались", и в результате и там, и там получилось 10.0.0.0


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 11, 2007 21:06 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Спасибо! Я уже объяснил письмом. Единственное всё-таки во втором случае маска нужна 255.255.255.248. Так как диапазон IP-адресов назначения здесь (к сожалению в посте не указаны) 10.0.0.1 - 10.0.0.7.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 11, 2007 21:09 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
А если нужно в точности то правила будут выглядеть вот так:

create access_profile profile_ id 2 ip source_ip_mask 255.255.0.0
destination_ip_mask 255.255.255.248

config access_profile profile_id 2 add access_id 1 ip source_ip 10.1.0.0
destination_ip 10.0.0.1 port 15 permit

config access_profile profile_id 2 add access_id 1 ip source_ip 10.2.0.0
destination_ip 10.0.0.1 port 15 permit
.
.
.

config access_profile profile_id 2 add access_id 1 ip source_ip 10.17.0.0
destination_ip 10.0.0.1 port 15 permit

create access_profile profile_ id 5 ip source_ip_mask 0.0.0.0
destination_ip_mask 0.0.0.0

config access_profile profile_id 5 add access_id 1 ip source_ip 0.0.0.0
destination_ip 0.0.0.0 port 15 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт май 17, 2007 17:54 
Не в сети

Зарегистрирован: Ср май 09, 2007 13:28
Сообщений: 18
Совсем уже отчаялся, понимаю, что возможно чего-то не понимаю.
Вот простой случай.

23 порт, к нему подколючен компьютер с ip 192.168.1.2/255.255.255.0
21 порт, компьютер с ip 192.168.1.1/255.255.255.0

Разрешаю, чтобы они друг друга видели.
create access_profile profile_id 1 ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.1.0 destination_ip 192.168.1.0 port 21,23 permit

Запрещаю все остальное
create access_profile profile_id 2 ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 21,23 deny

И все, компьютеры перестают друг-друга видеть... :(

Где ошибка?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт май 17, 2007 21:24 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вообще-то надо вот так:

create access_profile profile_id 1 ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.1.1 destination_ip 192.168.1.2 port 21,23 permit
config access_profile profile_id 1 add access_id 2 ip source_ip 192.168.1.2 destination_ip 192.168.1.1 port 21,23 permit

create access_profile profile_id 2 ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 21,23 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 18, 2007 10:27 
Не в сети

Зарегистрирован: Ср май 09, 2007 13:28
Сообщений: 18
Скопировал правила, один в один. Результат тот-же. Компьютеры перестают видеть друг друга.

P.S. Перепроверил по 10 раз все. Правильно ли подключены кабели, сетевые реквизиты и т.д.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт май 18, 2007 13:04 
Не в сети

Зарегистрирован: Ср мар 02, 2005 16:20
Сообщений: 36
Откуда: Msk
Калькулятор подсетей
http://jodies.de/ipcalc?host=192.168.11 ... =16&mask2=


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт май 29, 2007 08:13 
Не в сети

Зарегистрирован: Ср май 09, 2007 13:28
Сообщений: 18
Возможно ли какими либо правилами разрешить/запретить хождение трафика между пользователями по DC++ ?

Уточню. Подсети на разных портах коммутатора, друг-друга не видят режется ACL, но хотелось бы, чтобы пользователи могли обмениваться друг с другом файлами по DC.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт май 29, 2007 14:22 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Какие порты при этом протоколе используются?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср май 30, 2007 05:14 
Не в сети

Зарегистрирован: Ср май 09, 2007 13:28
Сообщений: 18
Судя по тому, что я вижу в файрволе, то все.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср май 30, 2007 09:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Так не бывает. Внимательно изучите приложение и тогда можно будет от чего то отталкиваться при написании ACL.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 50


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB