D-Link • Просмотр темы - 3526 ACL Вопрос.

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

3526 ACL Вопрос.

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 2 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

LOSIHA

Заголовок сообщения: 3526 ACL Вопрос.

Добавлено: Пн окт 15, 2007 17:53

Зарегистрирован: Пт авг 03, 2007 11:54
Сообщений: 34

Мужики. Помогите. Немогу понять как создать правило.
Задача. 25 и 26 порт трасса. 1 - 24 порт (все всем - там vlan`ы) надо :
1. Разрешить невалидным ip адрессам доступ до 2-х ip адресов с портов 1-24.. наприме для 1.2.3.4 и 3.2.4.1.
2. Всем валидным ip адрессам.. например 10.10.10.10. 10.10.20.10 можно все.
Запутался в правилах ACL - может кто поможет рабочей схемой.

Вернуться наверх

Morpeh

Заголовок сообщения:

Добавлено: Пн окт 15, 2007 20:32

Зарегистрирован: Пт апр 01, 2005 17:41
Сообщений: 177
Откуда: Омск

всё просто в FAQе всё очень хорошо описано.
нужно только понимать:
1. фильтруется только входящий на порту трафик
2. в одном профиле практически не возможно универсальное правило создать.
3. в профиле 255 это точное значение. 0 любое знаечение.
4. есть ограничение по кол. профилей и кол. правил.
5. порядок: первыми разрешаеш последними запрещаеш.

от теории к практике:
допустим тебе нужно разрешить на 25 порту прохождение на любой IP с сети 10.0.0.0/8 и запретить всё остальное:

создаёш разрешающий профиль:

Код:

create access_profile ip source_ip_mask 255.0.0.0 profile_id 10

затем правило к этому профилю:

Код:

config access_profile profile_id 10 add access_id 25 ip source_ip 10.0.0.0 port 25 permit

затем запрещающий всё остальное:

Код:

create access_profile ip source_ip_mask 0.0.0.0 profile_id 20

затем правило к этому профилю:

Код:

config access_profile profile_id 20 add access_id 25 ip source_ip 0.0.0.0 port 25 deny

в твоём случае насколько я понял нужно следующее:

разрешающий профиль для VIP IP:

Код:

create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0 profile_id 5

правила:

Код:

config access_profile profile_id 5 add access_id 1 ip source_ip 10.10.10.10 destination_ip 0.0.0.0 port 25 permit
config access_profile profile_id 5 add access_id 2 ip source_ip 10.10.20.10 destination_ip 0.0.0.0 port 25 permit

разрешающий профиль для остальных IP:

Код:

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.255 profile_id 10

правила:

Код:

config access_profile profile_id 10 add access_id 1 ip source_ip 0.0.0.0  destination_ip 1.2.3.4 port 25 permit
config access_profile profile_id 10 add access_id 2 ip source_ip 0.0.0.0  destination_ip 3.2.4.1 port 25 permit

профиль запрещающий всё остальное и правело к нему

Код:

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 254
config access_profile profile_id 254 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 25 deny

сорри, не понял на каких портах тебя это всё интересует. если на нескольких то пишеш через дефиз, например port 1-24 deny или permit

профилей не так много... перед внедрением нужно хорошо всю схему обдумать :oops:

Вернуться наверх

Страница 1 из 1

[ Сообщений: 2 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 24

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения