1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт авг 01, 2025 14:11

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 3
  [ Сообщений: 31 ]  На страницу 1, 2, 3  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Stitch
 Заголовок сообщения: DES-3526. Фильтрация NETBIOS и Multicast
СообщениеДобавлено: Пн янв 19, 2009 15:04 
Не в сети

Зарегистрирован: Чт июн 02, 2005 13:26
Сообщений: 153
Откуда: Tashkent
Как отфильтровать NetBIOS и Multicast?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 19, 2009 15:21 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Чтобы отфильтровать NETBios нужно использовать функцию NETBios filtering. Описание фильтрации Multicast Limited address ranges я Вам выслал.
Вернуться наверх
 Профиль  
 
Stitch
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 19, 2009 15:28 
Не в сети

Зарегистрирован: Чт июн 02, 2005 13:26
Сообщений: 153
Откуда: Tashkent
NETBios filtering - это здорово, но не все свичи имеют 5-ю прошивку.
Примеры простыми правилами есть в наличии?
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 19, 2009 15:38 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
А что мешает перепрошить ?

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 19, 2009 15:39 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
В наличии нет. Но много раз обсуждалось на форуме. А прошивку всё-таки лучше обновить.
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Ср янв 21, 2009 12:43 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
Stitch писал(а):
Примеры простыми правилами есть в наличии?

есть :)
Код:
# протокол IP + пакет не фрагментирован + порт
create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 1
# 135
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1 deny
# 137
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1 deny
# 138
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1 deny
# 139
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1 deny
# 445
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1 deny
на будующее - пользутесь поиском, т.к. подобные вещи выкладываются тут чуть ли не ежедневно ...

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
ArDamant
 Заголовок сообщения:
СообщениеДобавлено: Ср янв 21, 2009 16:15 
Не в сети

Зарегистрирован: Вт дек 26, 2006 11:39
Сообщений: 88
Откуда: Красноярск
Demin Ivan писал(а):
Чтобы отфильтровать NETBios нужно использовать функцию NETBios filtering. Описание фильтрации Multicast Limited address ranges я Вам выслал.




не работает NETBios filtering, точнее работает но как то не так. ACL что привел snark надежнее (правда я через dst_ports делаю)
Вернуться наверх
 Профиль  
 
Stitch
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 20, 2009 09:10 
Не в сети

Зарегистрирован: Чт июн 02, 2005 13:26
Сообщений: 153
Откуда: Tashkent
Еще раз насчет фильтрации NetBios.
1. Обычная фильтрация (не экстенсив) садится на порт, то есть на все виртуальные сети. Если я хочу посадить правило в конкретную виртуальную сеть, то достаточно ли будет добавить в контент фильтеринг проверку 15-16 байт с маской 0fff и уразать в них номер виртуальной сети?
2. Не очень понял что именно делает экстенсив фильтеринг. Можно ссылочку или краткое пояснение в пару строк по сути выполняемых манипуляций?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 20, 2009 11:39 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
1. Да, можете посмотреть по show access_profile формат правил от filter netbios и по аналогии создать свои с учетом проверки по полю 802.1q.
2. Из CLI мануала:
Код:
For Extensive NetBIOS Filter, when it is enabled, all NetBIOS packets over 802.3 frames will be filtered from the specified port. This command is used to configure the state of the NetBIOS filter. Enabling the Extensive NetBIOS filter will create one access profile and create one access rule per port (DSAP (Destination Service Access Point) =F0, and SASP (Source Service Access Point) =F0).

Вот так оно выглядит в коммутаторе:
Код:
DES-3526:admin#show access_profile                           
Command: show access_profile

Access Profile Table

Access Profile ID : 1                                      Type : Packet Content
================================================================================
Owner    : EX_NetBIOS_filter
Masks    :

Offset 16-31 : 0x0000ffff 00000000 00000000 00000000

Access ID: 3              Mode: Deny
Owner    : EX_NETBIOS_filter
Port     : 3
----------------------------------------------------
Offset 16-31 : 0x0000f0f0 00000000 00000000 00000000


Вернуться наверх
 Профиль  
 
Akor
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 09, 2009 21:39 
Не в сети

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир
У меня NetBIOS Filtering работала только когда она появилась на первых прошивках. Сейчас она вообще ничего не фильтрует.
Даже удалял все ACL для верности эксперимента.
6.00.B23
Вернуться наверх
 Профиль  
 
Akor
 Заголовок сообщения:
СообщениеДобавлено: Сб окт 10, 2009 09:13 
Не в сети

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир
Сегодня попробовал предложенный вариант:
create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 23 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 23 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 23 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 23 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 23 deny

Да, машина, подключенная к 23 порту не видит NetBios ресурсы.
Но зато ее ВИДЯТ ВСЕ. И могут также лазить по ее NetBios ресурсам.
Вообще цель фильтрации NetBios как раз обратная, чтоб всякие вирусы, работающие по протоколу NetBios, не могли залезть на машину пользователя.
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Сб окт 10, 2009 10:14 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
дак закройте на остальных портах и не увидит!
ACL применяются только ко входящим на порт пакетам.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Akor
 Заголовок сообщения:
СообщениеДобавлено: Сб окт 10, 2009 10:17 
Не в сети

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир
Просто нужно некторым пользователям отключать NetBios протокол а остальным оставлять. Как тут быть?
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Сб окт 10, 2009 10:19 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
Akor писал(а):
Просто нужно некторым пользователям отключать NetBios протокол а остальным оставлять. Как тут быть?

поменять логику ACL. фильтровать не по dst порту, а по src.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Akor
 Заголовок сообщения:
СообщениеДобавлено: Сб окт 10, 2009 10:32 
Не в сети

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир
svsh1990 писал(а):
Akor писал(а):
Просто нужно некторым пользователям отключать NetBios протокол а остальным оставлять. Как тут быть?

поменять логику ACL. фильтровать не по dst порту, а по src.


Как это сделать на моем примере? Я еще не разобрался с фильтрацией по содержанию пакета.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 3
  [ Сообщений: 31 ]  На страницу 1, 2, 3  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 5

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB