есть n сотен vlan
на каждом по 1му ip из своей подсети
получается, что службы DGS (web, telnet etc) доступны на этих интерфейсах

подскажите, как этого избежать ? (acl в dgs мало)

Используйте trusted host. Или ACL(1792 правила, по-моему достаточно )

_________________
Best regards,
D-Link Moscow

спасибо, это всё было сделано
пришлось ещё закрывать на доступе любую возможность обращения к интерфейсам dgsки
icmp дос убивает dgs при любых acl + cpu filter +safe guard настроенных на dgs
спасло только закрытие на доступе Packet Content до всех интерфейсов dgs

Рад слышать! Но только странно что всё-таки Вы считаете что правил не хватает.

я немного обзналси
посмотрел в выводе sh acce внизу Unused Entries: 125

подумал acl осталось столько...
в 3526 эта комм информативнее..

серия DGS-36XX поддерживает 14 профилей по 128 правил в каждом. То, что вы видите, это оставшиеся неиспользованные правила для вашего единственного созданого профиля. Важно, что при использовании 1-ого правила для нескольких портов, будет использованно только одно правило.

_________________
Best regards,
D-Link Moscow

запретил доступ к интерфейсам (т.к. на всех интерфейсах висят службы dgs, как указать, что службы должны быть только на интерфейсе... или в определ vlan ?),
в итоге ничего не работает ((

интерфейсы dgs явл шлюзами для подсетей vlan
подскажите, как можно обезопасить интерфейсы dgs от dos с сетей vlan пользователей средствами dgs (при этом не потерять возможности использовать dgs как шлюз между сетями)?

например, как приводили на форуме:
create cpu access_profile profile_id 1 ip source_ip_mask 255.255.255.0
config cpu access_profile profile_id 1 add access_id 1 ip source_ip switch_net port 1-24 permit
create cpu access_profile profile_id 2 ip source_ip_mask 0.0.0.0
config cpu access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny

открывает доступ к интерфейсам только для коммутаторной сети и закрывает всем остальным, но после этого dgs перестает работать как шлюз (

если не ошибаюсь комбинацией ACL и CPU ACL.

viewtopic.php?t=60807&highlight=

здесь все хорошо и подробно написано.

предполагает то что у вас есть отдельный влан для управление и системный интерфейс не участвует в маршрутизации.

по идее роутинг отваливаться не должен.

да, делал по этой ссылке

но разрешить что-либо на интерфейс dgs - значит открыть на неё возможность dos,
она умирает сразу, не спасает никакой safe... т.к. проц не грузится, а dgs мёртвая (

т.е. если даже на dgs всё закрыто с помощью cpu filter+acl+trusted host, разграничено по vlan, т.е. сама dgs контролирует идущий к ней трафик (на стенде так и сделали),
то умирает она от icmp flood или dos(syn) на ip порты, на которых подняты службы самой dgs (но они не доступны, т.к. cpu filter+acl+trusted host настроены)

прошивка Build 2.40-B55

Какой у вас тип DoS атаки? В принципе в большинстве случае и на то много рабочих примеров достаточно Trusted Host. А от защиты от ARP Spoofing есть SafeGuard Engine например.

SerjVarshavskiy если честно все таки не понимаю как оно может дохнуть от пакетов которые до нее не доходят?

приведите схему стенда.

icmp flood
скриптик udpflood

dgs3627G -> DES3526
на DES3526 на 1н порт выставлен IMPB acl mode и подкл комп/linux
этот юзерский порт в своём влане untag + своя подсеть, 25 порт в default vlan tag + в свичевой подсети + в юзерском tag vlan

на dgs на оптич порт поднят default vlan tag и vlan юзерский tag + свой ipif на юзерский vlan
+ trusted host + гуард + acl, созданные по вышеприводимой ссылке


брали "тупо" любой интерфейc dgs и досили icmp или порты со службами dgs
они естественно не доступны,
но даже если интерфейсы находятся в других подсетях и вланах + вся секуробвязка, то dgs всё равно умирает (telnet отваливается/замирает на время отаки) (
загрузка процессора 17-18%
выловить это с помощью гуарда не получится

Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390.

а откуда открыт в данном случае телнет?

и функции маршрутизации при этом сохраняются? системный интерфейс пингуется?