D-Link • Просмотр темы - Проблема с ACL

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Проблема с ACL

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 5

[ Сообщений: 66 ]

На страницу 1, 2, 3, 4, 5 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Swingstar

Заголовок сообщения: Проблема с ACL

Добавлено: Сб ноя 15, 2008 22:09

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40

Приобрел des-3526. В Access Profile table создал правила на запреты по tcp\udp 135-139, 445 портам deny. Но на сервере биллингом вижу что проходит трафик по 137 udp порту. Что я не так настроил, хотя с сервера на виндовые шары доступа нет.
В ACL meter нужно что-то прописывать?

Последний раз редактировалось Swingstar Сб ноя 15, 2008 22:17, всего редактировалось 5 раз(а).

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Сб ноя 15, 2008 22:16

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Часть конфига с acl можно увидеть .?

Вот рабочее решение:

Код:

create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008A0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008B0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01BD0000 0x0 port 1-26 deny

Вернуться наверх

Swingstar

Заголовок сообщения:

Добавлено: Сб ноя 15, 2008 22:20

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40

Daniil-B писал(а):

Часть конфига с acl можно увидеть .?

Вот рабочее решение:

Код:

create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008A0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008B0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01BD0000 0x0 port 1-26 deny

Я новичек, скажите как просмотреть конфиг? Добавлял через веб интерфейс, по конфигу который выкладывал snark

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Сб ноя 15, 2008 22:55

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

Swingstar писал(а):

Я новичек, скажите как просмотреть конфиг?

весь конфиг:

Код:

show config current_config

можете сократить до:

Код:

sh con cur

конкретно ACL:

Код:

show access_profile profile_id НОМЕР_ACL

аналогично можете сократить до:

Код:

sh acce pr НОМЕР_ACL

нажимайте в CLI "ТАВ" - оно Вам покажет возможные варианты

Swingstar писал(а):

Добавлял через веб интерфейс, по конфигу который выкладывал snark

я обычно не выкладываю конфигов под веб ... Вы подобный ACL использовали?

Код:

# протокол IP + пакет не фрагментирован + порт
create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 1
# 135
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-24 deny
# 137
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-24 deny
# 138
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-24 deny
# 139
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-24 deny
# 445
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-24 deny


# протокол IP + пакет не фрагментирован + протокол TCP/UDP + порт
create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff00ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 2
# 67
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-24 deny
# 68
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-24 deny
# 1900
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-24 deny
# 2869
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x0b350000 0x0 port 1-24 deny

или какой то иной?

_________________
с уважением, БП

Вернуться наверх

Swingstar

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 12:55

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40

Использовал этот конфиг, добавляя через телнет.

Код:

create access_profile                                        ip tcp dst_port_mask 0xffff profile_id 1 
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         135 port 1-26 deny 
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         137 port 1-26 deny 
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         138 port 1-26 deny 
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         139 port 1-26 deny 
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         445 port 1-26 deny 
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port        2869 port 1-26 deny 

create access_profile                                        ip udp dst_port_mask 0xffff profile_id 2 
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         135 port 1-26 deny 
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         137 port 1-26 deny 
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         138 port 1-26 deny 
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         139 port 1-26 deny 
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         445 port 1-26 deny 
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port        1900 port 1-26 deny

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 13:08

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Странно, должно блокировать.

Какая прошивка?

И попробуй мой, более прямолинейный вариант:

Код:

create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3 
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny 
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny 
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008A0000 0x0 port 1-26 deny 
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008B0000 0x0 port 1-26 deny 
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01BD0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x076C0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x0B350000 0x0 port 1-26 deny

или
более избирательный от snark-а, подредактировав его под свои нужды.

Последний раз редактировалось Daniil-B Вс ноя 16, 2008 13:12, всего редактировалось 1 раз.

Вернуться наверх

Swingstar

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 13:09

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40

Daniil-B писал(а):

Часть конфига с acl можно увидеть .?

Вот рабочее решение:

Код:

create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008A0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008B0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01BD0000 0x0 port 1-26 deny

С этим конфигом та же ситуация, только вместо 1-26 прописываю на один 25-тый порт.

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 13:13

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Что-то ты видимо не там смотришь....

и что такое 25 порт? куда он ..

Вернуться наверх

Swingstar

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 13:18

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40

Daniil-B писал(а):

Что-то ты видимо не там смотришь....

и что такое 25 порт? куда он ..

Код:

port 1-26 deny

Это как я понял блокировка с 1 по 26 порты? Проблема в чем: на серваке стоит винда и Трафик Инпектор, и он падает как только начинаются запросы по этим портам, в особенности 137 udp. До этого стояла машина с линуком и iptables это блокировал, теперь вместо линукса стоит свич...Нужно зарезать только на 25 порту.

Вернуться наверх

Swingstar

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 13:24

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40

Firmware: Build 5.00-B28

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 13:29

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

Swingstar писал(а):

Использовал этот конфиг, добавляя через телнет.

Код:

create access_profile                                        ip tcp dst_port_mask 0xffff profile_id 1
...

create access_profile                                        ip udp dst_port_mask 0xffff profile_id 2
..
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         137 port 1-26 deny
...

все хорошо, но после Вашего высказывания:

Swingstar писал(а):

Но на сервере биллингом вижу что проходит трафик по 137 udp порту.

хочется задать Вам 3 вопроса:

пакеты на 137-й UDP порт, которые Вы видите, случаем не бродкастовые ли?
Ваши ACL выглядят примерно так?
Код:
create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x806 port 1-26 permit

create access_profile ip tcp dst_port_mask 0xffff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 135 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 139 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 445 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 593 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 2869 port 1-26 deny

create access_profile ip udp dst_port_mask 0xffff profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 67 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 68 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 137 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 138 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 445 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 1900 port 1-26 deny

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 4
config access_profile profile_id 4 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-26 deny

create access_profile ethernet ethernet_type profile_id 5
config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 0x800 port 1-26 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 6
config access_profile profile_id 6 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-26 deny
или там все же нет запрета бродкастов?
как все же выглядят Ваши ACL полностью?

P.S. после приведенного выше ACL игрульки перестанут находить друг друга бродкастом, так же перестанут работать бродкастовые чаты! я предупредил

_________________
с уважением, БП

Последний раз редактировалось snark Вс ноя 16, 2008 13:33, всего редактировалось 1 раз.

Вернуться наверх

Swingstar

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 13:44

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40

Этот трафик поражден запросами Netlook'a.
Но мне же нужно зарезать на одном порту, почему игрушки не будут бегать? Мне нужно зарзать этот траик на порту куда воткнут биллинг...

P.S где прописывать команду
show access_profile profile_id ? В телнете ничего не показывает...

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 13:58

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

Swingstar писал(а):

Этот трафик поражден запросами Netlook'a.

нет, этот трафик порожден виндовым NetBIOS-ом

Swingstar писал(а):

Но мне же нужно зарезать на одном порту ... Мне нужно зарзать этот траик на порту куда воткнут биллинг...

свич фильтрует только входящий в порт трафик и поэтому, для того чтобы биллинг висящий на 25-м порту не видел этих пакетов Вам необходимо зафильтровать все остальные порты куда включены юзеры

Swingstar писал(а):

почему игрушки не будут бегать?

большинство игрулек ищет сервера в сети бродкастом, т.е. работать они будут, но только при указании конкретного IP адреса куда подключаться, в браузере серверов той же контры будет пусто ...

_________________
с уважением, БП

Вернуться наверх

Swingstar

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 14:05

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40

snark писал(а):

Swingstar писал(а):

Этот трафик поражден запросами Netlook'a.

нет, этот трафик порожден виндовым NetBIOS-ом

Swingstar писал(а):

Но мне же нужно зарезать на одном порту ... Мне нужно зарзать этот траик на порту куда воткнут биллинг...

Swingstar писал(а):

почему игрушки не будут бегать?

Понятно, спасибо. НАшел функцию NetBIOS Filtering, может про ще ей? Что скажите?

Строка config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x806 port 1-26 permit
не добавляется в телнет, пишет

Код:

DES-3526:admin#config access_profile profile_id 1 add access_id auto_assign ethe
rnet ethernet_type 0x806 port 1-26 permit
Command: config access_profile profile_id 1 add access_id

Next possible completions:
<value 1-65535>

Вернуться наверх

Swingstar

Заголовок сообщения:

Добавлено: Вс ноя 16, 2008 14:23

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40

Скажите, есть ли другое решение?? В этот же свич воткнут файл- сервер, он обязательно должен быть доступ из сети...Броадкасты можно зарезать только на одном порту?

Вернуться наверх

Страница 1 из 5

[ Сообщений: 66 ]

На страницу 1, 2, 3, 4, 5 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 45

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения