1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 22, 2025 22:03

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 4
  [ Сообщений: 49 ]  На страницу Пред.  1, 2, 3, 4  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Сб ноя 15, 2008 07:13 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Тогда получите:
Код:
create access_profile packet_content_mask offset_32-47 0x0 0xffff0000 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x00C70000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x00870000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x00890000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x008A0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x008B0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x00B30000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x01BD0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x076C0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x08eb0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x0AB90000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x0BFB0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x0C370000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x15B20000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0xA1790000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0xA1850000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x22A20000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x270B0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x27100000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x27600000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x30390000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x43930000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x6AEE0000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x7A690000 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0xFFE20000 port 1-28 deny

Но моё мнение - это перебор.
Можно ограничиться меньшим.

Можно ещё прикрыть ip_broadcast
Код:
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-28 deny
Вернуться наверх
 Профиль  
 
chaton
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 01:04 
Не в сети

Зарегистрирован: Сб авг 02, 2008 00:06
Сообщений: 129
спасибо большое.хоть кто-то не отослал куда-то читать и разбираться.
можно еще пару вопросов..
почему вы написали для packet_content и чем отличается от ip?
а такое колличество портов взято с сайта западного интернет провайдера.раз так сделали значит знают что делают...это у нас я знаю пятерку их и закрою,а потом если будут проблемы добавлю))
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 12:59 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
chaton писал(а):
почему вы написали для packet_content и чем отличается от ip?

На базе IP тебе придётся указывать тип протокола tcp/udp, что повлечет за собой увеличение профилей и правил.
На базе packet_content, как ты заметил, я всё затолкал в один профиль, предлагая в пакете вести сравнение только по номеру dest_port, где независимо от типа протокола и пакета, будут фильтроваться все пакеты, адресованные на описанные порты.
В твоём случае, я полагаю, этого достаточно, тем более, что у тебя и так всё гуляет в vid 1, что ни есть айс.

Если необходимо фильтровать пакеты исходя и из nипа протокола tcp/udp, то в этот же профиль можно добавить ещё один offset и вести сравнение по двум параметрам tcp/udp + dest_port.
И это так же будет всё внутри одного профиля, да и количество правил не увеличится.
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 13:50 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
Daniil-B писал(а):
На базе IP тебе придётся указывать тип протокола tcp/udp, что повлечет за собой увеличение профилей и правил.
+1

Daniil-B писал(а):
Если необходимо фильтровать пакеты исходя и из nипа протокола tcp/udp, то в этот же профиль можно добавить ещё один offset и вести сравнение по двум параметрам tcp/udp + dest_port.
угу ... что-то в духе этого:
Код:
# IP (0x0800), Version 4 + Destination port
delete access_profile profile_id 1
create access_profile                                        packet_content_mask offset_0-15 0x00000000 0x00000000 0x00000000 0x0ffff000 offset_32-47 0x00000000 0xffff0000 0x00000000 0x00000000 profile_id 1
# 135 (87)
config access_profile profile_id 1 add access_id auto_assign packet_content                                         offset 12 0x08004000               offset 36 0x00870000 port 1-28 deny
# 137 (89)
config access_profile profile_id 1 add access_id auto_assign packet_content                                         offset 12 0x08004000               offset 36 0x00890000 port 1-28 deny
# 138 (8a)
config access_profile profile_id 1 add access_id auto_assign packet_content                                         offset 12 0x08004000               offset 36 0x008a0000 port 1-28 deny
# 139 (8b)
config access_profile profile_id 1 add access_id auto_assign packet_content                                         offset 12 0x08004000               offset 36 0x008b0000 port 1-28 deny
# 445 (1bd)
config access_profile profile_id 1 add access_id auto_assign packet_content                                         offset 12 0x08004000               offset 36 0x01bd0000 port 1-28 deny


# IP (0x0800), Version 4 + Protocol: TCP (0x06), UDP (0x11) + Destination port
delete access_profile profile_id 2
create access_profile                                        packet_content_mask offset_0-15  0x00000000 0x00000000 0x00000000 0x0ffff000 offset_16-31 0x00000000 0x000000ff 0x00000000 0x00000000 offset_32-47 0x00000000 0xffff0000 0x00000000 0x00000000 profile_id 2
# TCP   53 (35)
config access_profile profile_id 2 add access_id auto_assign packet_content                                          offset 12 0x08004000               offset 20 0x00000006                                     offset 36 0x00350000 port 1-28 deny
# UDP   67 (43)
config access_profile profile_id 2 add access_id auto_assign packet_content                                          offset 12 0x08004000               offset 20 0x00000011                                     offset 36 0x00430000 port 1-28 deny
# UDP   68 (44)
config access_profile profile_id 2 add access_id auto_assign packet_content                                          offset 12 0x08004000               offset 20 0x00000011                                     offset 36 0x00440000 port 1-28 deny
# UDP 1900 (76c)
config access_profile profile_id 2 add access_id auto_assign packet_content                                          offset 12 0x08004000               offset 20 0x00000011                                     offset 36 0x076c0000 port 1-28 deny
# TCP 2869 (b35)
config access_profile profile_id 2 add access_id auto_assign packet_content                                          offset 12 0x08004000               offset 20 0x00000006                                     offset 36 0x0b350000 port 1-28 deny


P.S. да, опять пробелы :)

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 15:29 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
snark писал(а):
P.S. да, опять пробелы :)

НизачОт ... :)
Смотри, как у меня красиво ... ничего лишнего .. ;)
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 15:52 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
1. нажимаем
2. copy/paste в текстовый редактор
3. прикидываем почему людям так будет проще понимать
4. ...
5. профит

P.S. боюсь, ув. Daniil-B, что тут вообще никто не смотрит и не разбирает примеры :(

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
chaton
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 19:53 
Не в сети

Зарегистрирован: Сб авг 02, 2008 00:06
Сообщений: 129
я наверное уже достал вас))
но есть пару вопросов
зачем закрывать 53 порт?
если описывать в ip то я не уложусь в правила?
если я в последний пример допишу недостающие порты соотвественно tcp udp все будет работать?
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 20:14 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Цитата:
зачем закрывать 53 порт?

Шоб DNS серверов не плодили ..
Цитата:
если описывать в ip то я не уложусь в правила?

Хз ... над проверять ..
Да и зачем? В packet_content-е красивше и функиональней ..

Последний пример, эт какой ?

У нас то работает .
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 20:26 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
chaton писал(а):
зачем закрывать 53 порт?

53-й ТСР порт используется:
- для трансфера зон между DNS серверами и, ЕМНИМС, когда размер DNS пакета превышает 512 байт
- в кривом DNS ресолвере M$ Windows который любит использовать и стандартный 53-й UDP порт и 53-й ТСР порт
собсно редко у кого клиенты трансферят зоны, а уж M$ Windows везде и всюду - поэтому этот порт обычно прикрывают, чтоб "левого" трафика поменьше бегало, да и ни к чему глупые запросы от виндовых клиентов Вашему серверу ...

chaton писал(а):
если описывать в ip то я не уложусь в правила?

наверное уложитесь ... зависит от внятного (не "хотелось бы ...", а "очень надо") списка портов которые Вы хотите заблокировать :)

chaton писал(а):
если я в последний пример допишу недостающие порты соотвественно tcp udp все будет работать?

будет

UPD: пока писал Daniil-B уже ответить успел :)

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 20:51 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
У меня бубен правильный .. :D
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 21:12 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
я своя бубна не достаю ... бубна не нада просто так трогать - духи обидится могут ... когда следующий раза камлать буду духи могут не прийти ...
:)

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
chaton
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 17, 2008 00:03 
Не в сети

Зарегистрирован: Сб авг 02, 2008 00:06
Сообщений: 129
в пример от snarkа запихнуть все порты которые хотел))
только вот не знаю двоичных кодов номеров портов...а так вроде понятно))
Вернуться наверх
 Профиль  
 
chaton
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 17, 2008 00:32 
Не в сети

Зарегистрирован: Сб авг 02, 2008 00:06
Сообщений: 129
to Daniil-B а куда один порт потерялся в вашем примере?
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 17, 2008 10:34 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Я не описывал порт 0.
ибо нафига .. ? :wink:
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 17, 2008 16:03 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
chaton писал(а):
не знаю двоичных кодов номеров портов
переводите десятичные номера в НЕХ и все ... надоест переводить в уме - пользуйтесь калькулятором (IMHO он мега удобный) ;)

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 4
  [ Сообщений: 49 ]  На страницу Пред.  1, 2, 3, 4  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Majestic-12 [Bot] и гости: 62

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB