DES-3526
Firmware 6.00.B07

Нужно разрешить хождение любого трафика только этим подсетям 172.16.9.0/24, 172.16.19.0/24, 172.16.29.0/24, а все остальное блокировать.

Проверьте пожалуйста правильность моих правил.

1) Борьба с ненужными ARP запросами.

Запрет ARP запросов типа:

arp who-has 172.16.37.243 tell 172.16.9.0/24
arp who-has 172.16.37.243 tell 172.16.19.0/24
arp who-has 172.16.37.243 tell 172.16.29.0/24

Разрешаем ARP запросы типа:

arp who-has 172.16.9.0/24 tell 0.0.0.0/0
arp who-has 172.16.19.0/24 tell 0.0.0.0/0
arp who-has 172.16.29.0/24 tell 0.0.0.0/0

172.16.9.0/24 - ac1009ff
172.16.19.0/24 - ac1013ff
172.16.29.0/24 - ac101dff
arp - 0806

Перехваченные пакеты:



Правила полученные...



Блокируем состальной ARP броадкаст.




2) Тут разрешаются наши подсети на уровне ip.




Блокируем все остальное.




Спасибо.

на ночь глядя не хочется проверять, поэтому оставлю в стороне.


зачем запрещать остальной ARP-бродкаст, если вы вообще потом всё запретите последним правилом?



тут достаточно только профиля 3. 4-й не нужен.

оставьте только 7-й. 5 и 6 тут вообще не нужны.

P.S. между делом - в 5 и 6 неправильный синтаксис. /0 не надо

_________________
LiveComm

Спасибо большое. Для уверенности лишние правила добавил.

Если Вас не затруднит потом посмотрите пожалуйста еще на те правила, которые отставили в строну.

Нашел ошибку, вот исправленный вариант.

на первый взгляд всё правильно и сделано по FAQшному примеру. но терзают смутные сомнения по поводу правильности задания подсети /24. а именно этих вот ff. я думаю их вообще не стоит учитывать в скелете пакета, ибо их там попросту нет

who has 10.13.32.1? Tell 10.13.47.5:

итого, чтобы вместо 10.13.32.1 задать подсеть 10.13.32.0 с 24 маской, достаточно offset_32-47 задать ввиде 0x0 0x0 0x0000ffff 0xff000000, а в правиле указывать 0x0 0x0 0x00000a0d 0x20000000, т.е. последняя цифра в IP адресе может свободно меняться.
вроде так)

_________________
LiveComm

Ага, спасибо. Это та ошибка исправленная в предпоследнем моем посте.
Конечно ff нет. Ну для наглядности отредактировал.

Спасибо еще раз.

Поддержу тему схожим вопросом. Есть коммутатор DES-3828, моя задача разрешить на 2-м порту этого свича только определённые диапазоны адресов для входящего трафика, остальной входящий трафик на этот порт заблокировать. Я сделал следующие правила:

create access_profile ip source_ip_mask 255.255.255.252 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 195.144.xxx.x port 2 permit
config access_profile profile_id 1 add access_id 2 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 1 add access_id 3 ip source_ip 195.144.xxx.xx port 2 permit
config access_profile profile_id 1 add access_id 4 ip source_ip 195.144.xxx.xx port 2 permit
config access_profile profile_id 1 add access_id 5 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 1 add access_id 6 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 1 add access_id 7 ip source_ip 195.144.xxx.xx port 2 permit
config access_profile profile_id 1 add access_id 8 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 1 add access_id 9 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 1 add access_id 10 ip source_ip 195.144.xxx.xx port 2 permit
config access_profile profile_id 1 add access_id 11 ip source_ip 195.144.xxx.xxx port 2 permit

create access_profile ip source_ip_mask 255.255.255.248 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 195.144.xxx.xx port 2 permit
config access_profile profile_id 2 add access_id 2 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 2 add access_id 3 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 2 add access_id 4 ip source_ip 195.144.xxx.xxx port 2 permit

create access_profile ip source_ip_mask 255.255.255.0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 10.xxx.xxx.xxx port 2 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 4
config access_profile profile_id 4 add access_id 1 ip source_ip 0.0.0.0 port 2 deny

Через этот порт идёт трафик с ospf на следующий свич, просто проходит через него транком. Как только применяю листы почему то клиентские адреса от следующего свича которые прописаны на нём отваливаются хотя сами свичи доступны тем не менее и диапазоны эти в списке permit. Где я сделал не правильно?

И ещё вопросик. На свиче DES-3326S нужно только в определённом вилане разрешить определённый диапазон адресов по входящему трафику, чтобы этот список доступа относился только к вилану для которого он сделал и не оказывал ни какого воздействия на остальную конфигурацию. Потестить на действующем оборудовании не могу во избежании сбоев у клиентов поэтому прошу поделиться опытом и поправить меня если я не правильно делаю. Это будет выглядеть так?

create access_profile ip vlan source_ip_mask 255.255.255.0 permit profile_id 1
config access_profile profile_id 1 add access_id 1 ip vlan TEST source_ip 192.168.0.5
create access_profile ip vlan source_ip_mask 0.0.0.0 deny profile_id 2
config access_profile profile_id 2 add access_id 1 ip vlan TEST source_ip 0.0.0.0

Подключился к 24-му порту, запустил на машине wireshark, проверил сеть. Все работает, в снифере вижу свои пакеты и те непонятные arp запросы типа arp who-has 172.16.37.243 tell 172.16.9.24.

Потом взял и на 24-м порту все задропил.



и для уверенности еще и


Как и следовало, я перестал видеть то, что видел до этого, НО
arp who-has 172.16.37.243 tell 172.16.9.24 никуда не пропали, они продолжали проскакивать в снифере.

Что может быть и почему я продолжаю видеть чужие пакеты???

подскажите а можно ли на 3526 ацль по snmp добавлять?

2 Strangertlt >

1. В чём выражается отваливание?
2. На DES-3326S ACL применяются сразу на все порты, там нет привязки правила к конкретному профилю, так как это устаревшая модель.

2 vangog > Используя ACL:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 24 deny

Вы не решите проблему с ARP-ами, так как ACL фильтруют только входящий трафик, соответственно, Вы запретили любой трафик от снифера.



Всё просто, эти ARP пакеты подпадают под первый профиль, поэтому Вы их и видите на снифере.

2 neonman > Можно.

_________________
С уважением,
Бигаров Руслан.

После 3828 как я уже сказал стоит свич L3 (3326S) который так же работает по ospf с циской, на нём прописываются интерфейсы с клиентскими адресами. Трафик идёт транком на это свич через 3828 через порт на который я и применяю эти листы доступа. Просто часть клиентов по определённым причинам прописываю на 3828 и забрасываю в туже ветку транком где и 3326S с ospf. Я сделал тест. Пробросил vlan до 3326S от рабочего места по сети и привязал к нему тестовый диапазон. Потом включил компьютер в этом vlan с адресом из этого тестового диапазона, всё хорошо, инет есть и без багов, потом на пути этого трафика я применил листы доступа на 3828 по описанному мной примеру где тестовый диапазон есть в permit и сеть от компа отвалилась, следовательно и у клиентов будет тоже самое как мне кажется. Не могу понять почему отваливается клиентский диапазон адресов если свичи висят в сети после листов доступа тоже на диапазонах которые разрешены в листах и они доступны. Другими словами- разрешил по указанным мной правилам определённый диапазон адресов через 2-й порт а он всёравно отвалился хотя часть диапазонов прописана так же и прекрасно работает.

было бы не плохо если бы тема с ацль+снмп засветилась в dlink faq

Вот рабочее правило разрешающее arp протокол только
172.16.9.0, 172.16.19.0, 172.16.29.0 подсетям на всех портах.



Другое блокировать нет смысла.

Спасибо. Дошел до этого практическим путем, а Вы это и подтвердили в письменном виде.

To Strangertlt:

По поводу DES-3326S правильно. По поводу DES-38XX и правил перезвоните пожалуйста в понедельник в офис по телефону 744-00-99 доб.390.

To neonman:

Я Вам описания параметров выслал.

To vangog:

Рад слышать!