faq обучение настройка
Текущее время: Вс авг 24, 2025 11:18

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Чт мар 27, 2008 11:41 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
Как заблокировать широковещательные пакеты от определенной подсети, например 192.168.10.0.
Создавал правила в acl:
1. прохождение 1 адреса, например 192.168.1.3 (permit)
2. блокировка всех адресов (deny)
Все равно происходит конфликт адресов из 10 подсети.

create access_profile ip source_ip 0.0.0.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip port 25-28 permit
create access_profile ip destination_ip 255.255.0.0 profile_id 5
config access_profile profile_id 5 add access_id 1 ip destination_ip 192.168.0.0 port 1-28 deny
create access_profile ip source_ip 255.255.255.255 destination_ip 0.0.0.0 profile_id 7
config access_profile profile_id 7 add access_id 1 ip source_ip 192.168.1.3 destination_ip 0.0.0.0 port 1 permit
create access_profile ip source_ip 0.0.0.0 profile_id 9
config access_profile profile_id 9 add access_id 1 ip source_ip 0.0.0.0 port 1-28 deny


И можно ли на порту урезать скорость для определенного адреса?


Последний раз редактировалось lioncub Чт мар 27, 2008 22:21, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт мар 27, 2008 14:37 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
lioncub писал(а):
Все равно происходит конфликт адресов из 10 подсети.


Вы мало описали по данной проблеме.

Цитата:
create access_profile ip source_ip 0.0.0.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip port 25-28 permit


Не правильно создали правило для профиля.

Цитата:
И можно ли на порту урезать скорость для определенного адреса?


Для этого испоьзуется функция Per Flow Bandwidth Control

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 27, 2008 22:00 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
Почему не правильно создал, я хочу оставить порты с 25 по 28 не тронутыми для любых правил. А все остальные чтоб подчинялись правилами.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 27, 2008 22:04 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
Потому что IP у вас в правилах не указан.

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 27, 2008 22:24 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
Сори за не понимание, но какой ip?
Стоит свитч, по первому порту идет кабель к хабу где неизвестно какие адреса, но реально на этот порт может подключиться человек с адресом, например 192.168.1.3. Его шлюз 192.168.1.1 расположен на 28 порту. На 26 порту подключено оборудование с адресом 192.168.10.1. Если на первом порту есть такой же адрес (192.168.10.1), то все равно происход конфликт адресов. Я хочу оставить с 25 по 28 порт не тронутыми, т.е. могу подключать любое оборудование с любыми адресами.... Как лучше реализовать? Или что в правилах не правильно?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 27, 2008 23:54 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
сравните первый и девятый профили. найдите разницу.

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 28, 2008 07:08 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
1 - разрешает любые src адреса с 25 порта по 28 порт
9 - запрещает все src адреса с 1 по 28 (естественно сюда уже не входят 25-28)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 28, 2008 10:50 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
lioncub писал(а):
1 - разрешает любые src адреса с 25 порта по 28 порт
9 - запрещает все src адреса с 1 по 28 (естественно сюда уже не входят 25-28)

а вы сравните синтаксис обоих приведенных вами команд. и найдите в первой ошибку. Почему-то 9 у вас правильно, а 1 - нет :)

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 28, 2008 11:24 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
изменяю
config access_profile profile_id 1 add access_id 1 ip port 25-28 permit
на
config access_profile profile_id 1 add access_id 1 ip source_ip 0.0.0.0 port 25-28 deny

так верно?
проблемма исчезнет?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 28, 2008 14:15 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Данным профилем и правилом Вы блокируете все пакетики на портах 25-28, если Вы этого добивались, то да.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 28, 2008 17:20 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
сорри не доглядел:
изменяю
config access_profile profile_id 1 add access_id 1 ip port 25-28 permit
на
config access_profile profile_id 1 add access_id 1 ip source_ip 0.0.0.0 port 25-28 permit


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 28, 2008 20:17 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
lioncub писал(а):
так верно?
проблемма исчезнет?

прочитал всю тему, так и не понял что же вам конкретно нужно. Разложите, пожалуйста, все по полкам. 1, 2, 3...

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб мар 29, 2008 16:45 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
lioncub,
Поставь конкретную задачу.
С указанием маски подсети.

Напишу на базе IP или на базе packet_content , по желанию, как будет удобнее...
Правилом на базе packet_content можно будет обрезать и arp пакеты с конкретных адресов или подсетей.... или , как угодно...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб мар 29, 2008 17:44 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
Стоит свитч, по первому порту идет кабель к хабу где неизвестно какие адреса, но реально на этот порт может подключиться человек с адресом, например 192.168.1.3. Его шлюз 192.168.1.1 расположен на 28 порту. На 26 порту подключено оборудование с адресом 192.168.10.1.

Я хочу чтобы с первого порта никакие пакеты кроме как с 192.168.1.3 не проходили. В данный момент проходят широковещательные пакеты с первого порта и происходит конфликт адресов с 192.168.10.1.

Мои правила.
1. профиль разрешает все адреса с 25 по 28 порт
create access_profile ip source_ip 0.0.0.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 0.0.0.0 port 25-28 permit
2. профиль запрещает запрос (destination_ip) всей подсети 192.168.0.0
create access_profile ip destination_ip 255.255.0.0 profile_id 5
config access_profile profile_id 5 add access_id 1 ip destination_ip 192.168.0.0 port 1-28 deny
3. разрешаем 1 ip адрес по первому порту
create access_profile ip source_ip 255.255.255.255 destination_ip 0.0.0.0 profile_id 7
config access_profile profile_id 7 add access_id 1 ip source_ip 192.168.1.3 destination_ip 0.0.0.0 port 1 permit
4. запрещаем все адреса по всем портам (естественно кроме 25-28 см.1.)
create access_profile ip source_ip 0.0.0.0 profile_id 9
config access_profile profile_id 9 add access_id 1 ip source_ip 0.0.0.0 port 1-28 deny

Как это лучше сделать?
Daniil-B покажи, пожалуйста как это сделать на базе ip?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб мар 29, 2008 18:08 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Т.е. тебе необходимо разрешить на порту №1 пакеты только с source_ip 192.168.1.3 ?
А нафига там hub ? :)

А может есть смысл обратить внимание на address_binding... ?

Код:
enable address_binding trap_log
create address_binding ip_mac ipaddress 192.168.1.3 mac_address ХХ-ХХ-ХХ-ХХ-ХХ-ХХ ports 1
config address_binding ip_mac ports 1 state enable

Правда он работает только на уровне IP протокола, arp пакеты он не закрывает.

Да, и на будущее, сначала необходимо разрешать, а потом запрещать.
Не забываем про приоритетность правил, согласно их ID.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 43


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB