Нет нельзя.

абыдна

тогда попробуем пойти другим путем
хочу закрыть нетбиос опять определенным пользователям по маку
попытался вот такое правило состряпал не пашет (


delete access_profile profile_id 4
create access_profile ethernet source_mac 00-15-58-8e-ba-6d profile_id 4
config access_profile profile_id 4 add access_id 1 ip udp dst_port 139 port 2-26 deny

подскажите?

нельзя так.
профиль создается по типу захватываемого трафика (ethernet - на уровне ethernet, ip - на уровне протокола ip)

здесь указывается не мак адрес, а маска для мак адресов, которые будут в последующем указываться в правилах.

собственно вы создали ethernet профиль, в нем нельзя будет обрабатывать пакеты на уровне протокола ip.

packet_content_mask вам в помощь. примеров на форуме более чем достаточно.

_________________
LiveComm

а можно пример конкретный?
поиск не рулит сегодня

вот так получилось

delete access_profile profile_id 1
create access_profile ethernet source_mac ff-ff-ff-ff-ff-ff profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-19-5b-6c-84-b2 ethernet_type 0x806 port 1-26 deny

остался 1 вопрос взамен 0х806 что поставить чтоб перерезать netbios

Закрываем МАС-у 00-11-22-33-44-55 доступ на порт 137


Только вопрос ... зачем?


Подобную задачу можно решить только на основе packet_content

а в более читабельном виде нельзя это представить?
чтоб мас 1-й строкой писался?

то не так, это не этак. нет нельзя. главное не читабельность, а функционал, который дает этот мощный инструмент.

_________________
LiveComm

Вы правы
огромное спасибо
пашет как часики )

На здоровье.
Смотри не запутайся ..

еще вопрос как можно развернуть это правило
то есть дать доступ только нужным мне пользователям на 137 порт
как я понял нужно сделать это 2 правилами
1-е запретить 137 порт всем
например

create access_profile ip udp dst_port_mask 0xffff profile_id 3
config access_profile profile_id 3 add access_id 1 ip udp dst_port 137 port 1-26 deny

второе разрешить например мак 112233445566

delete access_profile profile_id 7
create access_profile packet_content_mask offset_0-15 0x0 0x0000ffff 0xffffffff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 7

config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_0-15 0x0 0x00001122 0x33445566 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 permit

и не получается (

Наоборот:
Сначало разрешить избранным, потом запретить всем ...

И опять вопрос: Нафига вам виндовая самба ?
Убейте её нафик.

Да:
правилом

Ты режешь только udp пакеты, а tcp пролазят.

Это правило закроет и tcp и udp пакеты ибо тип протокола в сравнении пакета явно не казан:

Если совсем правильно, то выглядеть это будет так.

И в разрешающем правиле не стоит сразу скопом указывать все порты.
Ибо клиент висит на одном порту, а правила следует экономить.

в разрешающем правиле нужно указывать все порты
ибо мы рубим 137 протокол которым показывается что есть на других компах а нужно перекрыть все шары
хотя правил да реально не хватает
и не работает тот код что вы дали (

Всё работает ...
Проверял это всё года четыре назад.
Виндовая самба, как правило использует четыре основных порта - 137, 138, 139 и 445.

Зачем, например, прописывать разрешающее правило на 26 порт, который, как правило, используется под канал. да и запрещающие правила на нём то же не особо нужны ..

Полагаю, вы что-то не так делаете ...

Что конкретно не работает и при каких условиях ?

Да, и не забывайте, что коммутатор просматривает только входящие на порт пакеты.