1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 27, 2025 12:56

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 3
  [ Сообщений: 31 ]  На страницу Пред.  1, 2, 3  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 21, 2008 17:33 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Спасибо.
Значит коммутатор суммирует все офсеты на порт по всем профилям и правилам.

Учёл .... ушёл сочинять дальше ...
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 21:30 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Daniil-B писал(а):
Спасибо.
Значит коммутатор суммирует все офсеты на порт по всем профилям и правилам.

Учёл .... ушёл сочинять дальше ...


Нет ли для данной модели работоспособного варианта блокировки следующих портов:

TCP 135, 137, 138, 139, 445
UDP 137, 138, 1900, 2869, 68 ?

Постоянно упираюсь в ограничение по 5 правилам на порт.
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 21:39 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
А тут-то какие проблемы ... ?
один офсет всего требуется ... ну .... два - описать ешо для сравнения и тип протокола ..

не вижу проблем .. .
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 21:55 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Daniil-B писал(а):
А тут-то какие проблемы ... ?
один офсет всего требуется ... ну .... два - описать ешо для сравнения и тип протокола ..

не вижу проблем .. .


Читал маны, читал форум, реально не получается правильно составить, чтобы уложиться в лимит.

Создаю профиль, туда начинаю помещать правила. Первый профиль заполняется корректно, а начинаю делать второй профиль по UDP и не дает вообще ничего вставить, стоп-приплыли.

Диапазон портов для применения 2-52.
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 22:20 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Сонфиг acl в студию ...
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 22:27 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Daniil-B писал(а):
Сонфиг acl в студию ...


Код:
# ACL

create access_profile  ip  tcp dst_port 0xFFFF    profile_id 10
config access_profile profile_id 10  add access_id 1  ip  tcp dst_port 135       port 2-52 deny
config access_profile profile_id 10  add access_id 2  ip  tcp dst_port 137       port 2-52 deny
config access_profile profile_id 10  add access_id 3  ip  tcp dst_port 138       port 2-52 deny
config access_profile profile_id 10  add access_id 4  ip  tcp dst_port 139       port 2-52 deny
config access_profile profile_id 10  add access_id 5  ip  tcp dst_port 445       port 2-52 deny
create access_profile  ip  udp dst_port 0xFFFF    profile_id 15
create cpu access_profile profile_id 1 ip  source_ip 255.255.255.255
config cpu access_profile profile_id 1  add access_id 1  ip  source_ip 10.90.90.220     port 1 permit
create cpu access_profile profile_id 2 ip  destination_ip 255.255.255.0   
config cpu access_profile profile_id 2  add access_id 1  ip  destination_ip 10.90.90.0       port 2-52 deny
enable cpu_interface_filtering
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 22:40 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
А что вы хотите?
Вы израсходовали на эту бадягу 307 правил ...

Всё тоже самое можно уложить в 13 правил ;)
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 22:43 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Daniil-B писал(а):
А что вы хотите?
Вы израсходовали на эту бадягу 307 правил ...

Всё тоже самое можно уложить в 8 правил ;)


Если правило одно для каждого порта, то как можно уложиться хотя бы с одним диапазоном портов 2-52 в 7 правил? Порт коммутатора все равно надо указывать, а портов много.

Если не указывать порт, то "Port Must be Specified" и все ... снова никуда.

Хотелось бы сделать через PCF, но все не так, как на других линейках.

В мануале к коммутатору на эту тему вообще глухо, как в танке.
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 22:50 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
У этой серии коммутаторов есть особенность, если в правиле указывается группа из всех портов, то расходуется всего одно правило ;)

Проверьте:
Код:
# ACL

create access_profile ip tcp dst_port 0xFFFF profile_id 10
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 135 port 1 permit
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 137 port 1 permit
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 138 port 1 permit
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 139 port 1 permit
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 445 port 1 permit

config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 135 port 1-52 deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 137 port 1-52 deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 138 port 1-52 deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 139 port 1-52 deny
config access_profile profile_id 10 add access_id auto_assign ip tcp dst_port 445 port 1-52 deny
 
create access_profile ip udp dst_port 0xFFFF profile_id 15

create cpu access_profile profile_id 1 ip source_ip 255.255.255.255
config cpu access_profile profile_id 1 add access_id 1 ip source_ip 10.90.90.220 port 1 permit
 
create cpu access_profile profile_id 2 ip destination_ip 255.255.255.0   
config cpu access_profile profile_id 2 add access_id 1 ip destination_ip 10.90.90.0 port 1-52 deny


12 правил.
Проверьте, должно работать.


Последний раз редактировалось Daniil-B Вт ноя 11, 2008 22:58, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 22:58 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
replicant писал(а):
Нет ли для данной модели работоспособного варианта блокировки следующих портов:

TCP 135, 137, 138, 139, 445
UDP 137, 138, 1900, 2869, 68 ?

есть :)
например так:
Код:
create access_profile                                        ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port          53 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         135 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         139 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         445 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port        2869 port 1-28 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port        5000 port 1-28 deny


create access_profile                                        ip udp dst_port_mask 0xffff profile_id 2
# это чтобы адреса получали через DHCP Relay
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port          67 port 1-24 permit
# это чтоб DHCP сервером не прикидывались
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port          68 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         137 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         138 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         445 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port        1900 port 1-28 deny

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 23:00 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
snark,
Эта ... пробелы пофикси ... глаза разбегаются ... :)
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 23:03 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Daniil-B писал(а):
У этой серии коммутаторов есть особенность, если в правиле указывается группа из всех портов, то расходуется всего одно правило ;)


Пасхальные яйца какие-то. Это типа как на 3828 включите SIM чтобы при tracert увидеть IP коммутатора. Кто же знал-то что оно вот так вот работает?

Офигеть ...
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 23:03 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Правда, если мы режем виндовую самбу, полагаю, нет смысла чО-либо разрешать и на канальном порту .... не вижу смысла.
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 23:08 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Цитата:
то же знал-то что оно вот так вот работает?

Уже год, как известно ...
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 23:12 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Спасибо. Оно действительно так работает, а именно считает группу 1-52 одним правилом, ну по крайней мере теперь все по профилям поместилось.

Вот ведь .... нет слов...

Да у меня этот коммутатор недавно и после 35хх, 38хх и 36хх он мне показался вообще странным, а нигде в нете описания подобной особенности работы не нашел.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 3
  [ Сообщений: 31 ]  На страницу Пред.  1, 2, 3  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 37

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB