mikevlz писал(а):
решил я зачистить все напалмом
напалм надо распылять строго с воздуха, т.к. температура его окисления такова что плавятся даже камни! поэтому небходимо звено вертолетов, которое под музыку Вагнера его распылит так, чтобы Вы могли сказать "люблю запах напалма по утрам - это запах победы!"(с)
mikevlz писал(а):
Стоит там DES-3028
...
Если склероз мне не изменяет, там должно быть 255 ACL/Профилей...
Создаю ACL на Ether_Type, чтоб не гулял по моей сети чужой PPPoE. Запрещаю на портах 1-24 Ether-type 8863/8864. Все ок.
1 профиль, 2 правила.
Запрещаю нетбиосный броадкаст на TCP, любимую пятерку 135,137,138,139,445
Все ок, занято суммарно с предыдущим 2 профиля, 7 правил. Не путаю ведь?
Запрещаю нетбиосный броадкаст на UDP, ту же самую пятерку...
Три порта закрыл, а на четвертом свич мне и говорит английским голосом: Not enough room for this rule
Это откуда такой привет?
Ведь занято всего три профиля и 10 правил.
нет, батенька, это бОльше профилей ... в подтверждение своих слов мне сейчас не охота искать посты ув. И.Демина, но в 3028 логика такова:
если access_profile занимает все 28 портов, т.е. выглядит так:
Код:
create access_profile ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 53 port 1-28 deny
то израсходуется одно правило из 256
если access_profile занимает не 28 портов, т.е. выглядит так:
Код:
create access_profile ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 53 port 1-24 deny
то израсходуется 24 правила из 256
если Вы воспользуетесь вот такими правилами:
Код:
# Protocol: TCP + Destination port
create access_profile ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 53 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 139 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 445 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 2869 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 5000 port 1-28 deny
# Protocol: UDP + Destination port
create access_profile ip udp dst_port_mask 0xffff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 445 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 1900 port 1-28 deny
то у Вас израсходуются ровно 12 правил из 256 возможных правил/профилей, но, помимо этого, Ваши пользователи смогут получать IP адреса через DHCP Relay, т.к. в 3028 особенность чипсета такова что необходимо разрешать запросы к DHCP серверу, в то время как в DES-3526 механизм DHCP Relay работал ДО ACL ... так же особенностью чипсета в 3028 является то что невозможно составление более 5 (всего пяти
) Packet Content Mask правил на порт, поэтому расходовать эти правила лучше с умом
Вход
Регистрация
FAQ
Поиск
вечер после трудового дня ... расслабился ... извините ...