faq обучение настройка
Текущее время: Ср авг 06, 2025 21:16

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 15 ] 
Автор Сообщение
СообщениеДобавлено: Чт фев 12, 2009 23:26 
Не в сети

Зарегистрирован: Чт янв 22, 2009 21:57
Сообщений: 27
DES-3526
Firmware 6.00.B07

Нужно разрешить хождение любого трафика только этим подсетям 172.16.9.0/24, 172.16.19.0/24, 172.16.29.0/24, а все остальное блокировать.

Проверьте пожалуйста правильность моих правил.

1) Борьба с ненужными ARP запросами.

Запрет ARP запросов типа:

arp who-has 172.16.37.243 tell 172.16.9.0/24
arp who-has 172.16.37.243 tell 172.16.19.0/24
arp who-has 172.16.37.243 tell 172.16.29.0/24

Разрешаем ARP запросы типа:

arp who-has 172.16.9.0/24 tell 0.0.0.0/0
arp who-has 172.16.19.0/24 tell 0.0.0.0/0
arp who-has 172.16.29.0/24 tell 0.0.0.0/0

172.16.9.0/24 - ac1009ff
172.16.19.0/24 - ac1013ff
172.16.29.0/24 - ac101dff
arp - 0806

Перехваченные пакеты:

Код:
0000  ffffffff ffff0000 e86a03de  xxxxxxxx
0010  08060001 08000604 00010000  e86a03de
0020  ac1025f3 00000000 0000ac10  09ff0000 
0030  00000000 00000000 00000000  00000000             
             
offset_16-31 08060001 08000604 00010000  e86a03de
offset_32-47 ac1025f3 00000000 0000ac10  09ff0000

0000  ffffffff ffff0000 e86a03de  xxxxxxxx
0010  08060001 08000604 00010000  e86a03de
0020  ac1025f3 00000000 0000ac10  13ff0000 
0030  00000000 00000000 00000000  00000000

offset_16-31 08060001 08000604 00010000  e86a03de
offset_32-47 ac1025f3 00000000 0000ac10  13ff0000

0000  ffffffff ffff0000 e86a03de  xxxxxxxx
0010  08060001 08000604 00010000  e86a03de
0020  ac1025f3 00000000 0000ac10  1dff0000 
0030  00000000 00000000 00000000  00000000

offset_16-31 08060001 08000604 00010000  e86a03de
offset_32-47 ac1025f3 00000000 0000ac10  1dff0000


Правила полученные...

Код:
create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ffff 0xffff0000 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x09ff0000 port 1-26 permit
config access_profile profile_id 1 add access_id 2 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x13ff0000 port 1-26 permit
config access_profile profile_id 1 add access_id 3 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x1dff0000 port 1-26 permit


Блокируем состальной ARP броадкаст.

Код:
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 1-26 deny



2) Тут разрешаются наши подсети на уровне ip.

Код:
create access_profile ip source_ip_mask 255.255.255.0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 172.16.9.0 port 1-26 permit
config access_profile profile_id 3 add access_id 2 ip source_ip 172.16.19.0 port 1-26 permit
config access_profile profile_id 3 add access_id 3 ip source_ip 172.16.29.0 port 1-26 permit

create access_profile ip destination_ip_mask 255.255.255.0 profile_id 4
config access_profile profile_id 4 add access_id 1 ip destination_ip 172.16.9.0 port 1-26 permit
config access_profile profile_id 4 add access_id 2 ip destination_ip 172.16.19.0 port 1-26 permit
config access_profile profile_id 4 add access_id 3 ip destination_ip 172.16.29.0 port 1-26 permit



Блокируем все остальное.

Код:
create access_profile ip source_ip_mask 0.0.0.0/0 profile_id 5
config access_profile profile_id 5 add access_id 1 ip source_ip 0.0.0.0/0 port 1-26 deny

create access_profile ip destination_ip_mask 0.0.0.0/0 profile_id 6
config access_profile profile_id 6 add access_id 1 ip destination_ip 0.0.0.0/0 port 1-26 deny

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-26 deny



Спасибо.


Последний раз редактировалось vangog Пт фев 13, 2009 00:27, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 00:00 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
Код:
create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ffff 0xffff0000 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x09ff0000 port 1-26 permit
config access_profile profile_id 1 add access_id 2 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x13ff0000 port 1-26 permit
config access_profile profile_id 1 add access_id 3 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x1dff0000 port 1-26 permit

на ночь глядя не хочется проверять, поэтому оставлю в стороне.

Код:
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 1-26 deny

зачем запрещать остальной ARP-бродкаст, если вы вообще потом всё запретите последним правилом?

Код:
create access_profile ip source_ip_mask 255.255.255.0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 172.16.9.0 port 1-26 permit
config access_profile profile_id 3 add access_id 2 ip source_ip 172.16.19.0 port 1-26 permit
config access_profile profile_id 3 add access_id 3 ip source_ip 172.16.29.0 port 1-26 permit

create access_profile ip destination_ip_mask 255.255.255.0 profile_id 4
config access_profile profile_id 4 add access_id 1 ip destination_ip 172.16.9.0 port 1-26 permit
config access_profile profile_id 4 add access_id 2 ip destination_ip 172.16.19.0 port 1-26 permit
config access_profile profile_id 4 add access_id 3 ip destination_ip 172.16.29.0 port 1-26 permit


тут достаточно только профиля 3. 4-й не нужен.
Код:
create access_profile ip source_ip_mask 0.0.0.0/0 profile_id 5
config access_profile profile_id 5 add access_id 1 ip source_ip 0.0.0.0/0 port 1-26 deny

create access_profile ip destination_ip_mask 0.0.0.0/0 profile_id 6
config access_profile profile_id 6 add access_id 1 ip destination_ip 0.0.0.0/0 port 1-26 deny

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-26 deny

оставьте только 7-й. 5 и 6 тут вообще не нужны.

P.S. между делом - в 5 и 6 неправильный синтаксис. /0 не надо :)

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 00:14 
Не в сети

Зарегистрирован: Чт янв 22, 2009 21:57
Сообщений: 27
Спасибо большое. Для уверенности лишние правила добавил.

Если Вас не затруднит потом посмотрите пожалуйста еще на те правила, которые отставили в строну.

Нашел ошибку, вот исправленный вариант.
Код:
create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ffff 0xff000000 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x09000000 port 1-26 permit
config access_profile profile_id 1 add access_id 2 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x13000000 port 1-26 permit
config access_profile profile_id 1 add access_id 3 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x1d000000 port 1-26 permit


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 00:46 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
vangog писал(а):
Спасибо большое. Для уверенности лишние правила добавил.

Если Вас не затруднит потом посмотрите пожалуйста еще на те правила, которые отставили в строну.

на первый взгляд всё правильно и сделано по FAQшному примеру. но терзают смутные сомнения по поводу правильности задания подсети /24. а именно этих вот ff. я думаю их вообще не стоит учитывать в скелете пакета, ибо их там попросту нет :)

who has 10.13.32.1? Tell 10.13.47.5:
Код:
0000  ffffffff ffff0016 d4ab6d1e xxxxxxxx
0010  08060001 08000604 00010016 d4ab6d1e
0020  0a0d2f05 00000000 00000a0d 20010000
0030  00000000 00000000 00000000 00000000

итого, чтобы вместо 10.13.32.1 задать подсеть 10.13.32.0 с 24 маской, достаточно offset_32-47 задать ввиде 0x0 0x0 0x0000ffff 0xff000000, а в правиле указывать 0x0 0x0 0x00000a0d 0x20000000, т.е. последняя цифра в IP адресе может свободно меняться.
вроде так)

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 10:22 
Не в сети

Зарегистрирован: Чт янв 22, 2009 21:57
Сообщений: 27
Ага, спасибо. Это та ошибка исправленная в предпоследнем моем посте.
Конечно ff нет. Ну для наглядности отредактировал.

Спасибо еще раз.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 10:59 
Не в сети

Зарегистрирован: Пт окт 24, 2008 15:35
Сообщений: 163
Поддержу тему схожим вопросом. Есть коммутатор DES-3828, моя задача разрешить на 2-м порту этого свича только определённые диапазоны адресов для входящего трафика, остальной входящий трафик на этот порт заблокировать. Я сделал следующие правила:

create access_profile ip source_ip_mask 255.255.255.252 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 195.144.xxx.x port 2 permit
config access_profile profile_id 1 add access_id 2 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 1 add access_id 3 ip source_ip 195.144.xxx.xx port 2 permit
config access_profile profile_id 1 add access_id 4 ip source_ip 195.144.xxx.xx port 2 permit
config access_profile profile_id 1 add access_id 5 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 1 add access_id 6 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 1 add access_id 7 ip source_ip 195.144.xxx.xx port 2 permit
config access_profile profile_id 1 add access_id 8 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 1 add access_id 9 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 1 add access_id 10 ip source_ip 195.144.xxx.xx port 2 permit
config access_profile profile_id 1 add access_id 11 ip source_ip 195.144.xxx.xxx port 2 permit

create access_profile ip source_ip_mask 255.255.255.248 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 195.144.xxx.xx port 2 permit
config access_profile profile_id 2 add access_id 2 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 2 add access_id 3 ip source_ip 195.144.xxx.xxx port 2 permit
config access_profile profile_id 2 add access_id 4 ip source_ip 195.144.xxx.xxx port 2 permit

create access_profile ip source_ip_mask 255.255.255.0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 10.xxx.xxx.xxx port 2 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 4
config access_profile profile_id 4 add access_id 1 ip source_ip 0.0.0.0 port 2 deny

Через этот порт идёт трафик с ospf на следующий свич, просто проходит через него транком. Как только применяю листы почему то клиентские адреса от следующего свича которые прописаны на нём отваливаются хотя сами свичи доступны тем не менее и диапазоны эти в списке permit. Где я сделал не правильно?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 12:34 
Не в сети

Зарегистрирован: Пт окт 24, 2008 15:35
Сообщений: 163
И ещё вопросик. На свиче DES-3326S нужно только в определённом вилане разрешить определённый диапазон адресов по входящему трафику, чтобы этот список доступа относился только к вилану для которого он сделал и не оказывал ни какого воздействия на остальную конфигурацию. Потестить на действующем оборудовании не могу во избежании сбоев у клиентов поэтому прошу поделиться опытом и поправить меня если я не правильно делаю. Это будет выглядеть так?

create access_profile ip vlan source_ip_mask 255.255.255.0 permit profile_id 1
config access_profile profile_id 1 add access_id 1 ip vlan TEST source_ip 192.168.0.5
create access_profile ip vlan source_ip_mask 0.0.0.0 deny profile_id 2
config access_profile profile_id 2 add access_id 1 ip vlan TEST source_ip 0.0.0.0


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Непонятность.
СообщениеДобавлено: Пт фев 13, 2009 12:38 
Не в сети

Зарегистрирован: Чт янв 22, 2009 21:57
Сообщений: 27
Подключился к 24-му порту, запустил на машине wireshark, проверил сеть. Все работает, в снифере вижу свои пакеты и те непонятные arp запросы типа arp who-has 172.16.37.243 tell 172.16.9.24.

Потом взял и на 24-м порту все задропил.

Код:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 24 deny


и для уверенности еще и

Код:
create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet  ethernet_type 0x0806 port 24 deny

Как и следовало, я перестал видеть то, что видел до этого, НО
arp who-has 172.16.37.243 tell 172.16.9.24 никуда не пропали, они продолжали проскакивать в снифере.

Что может быть и почему я продолжаю видеть чужие пакеты???


Последний раз редактировалось vangog Пт фев 13, 2009 21:05, всего редактировалось 3 раз(а).

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 13:18 
Не в сети

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти
подскажите а можно ли на 3526 ацль по snmp добавлять?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 15:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
2 Strangertlt >

1. В чём выражается отваливание?
2. На DES-3326S ACL применяются сразу на все порты, там нет привязки правила к конкретному профилю, так как это устаревшая модель.

2 vangog > Используя ACL:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 24 deny

Вы не решите проблему с ARP-ами, так как ACL фильтруют только входящий трафик, соответственно, Вы запретили любой трафик от снифера.

Цитата:
Все работает, в снифере вижу свои пакеты и те непонятные arp запросы типа arp who-has 172.16.37.243 tell 172.16.9.24, которых не может быть в моей сети по определению.


Всё просто, эти ARP пакеты подпадают под первый профиль, поэтому Вы их и видите на снифере.

2 neonman > Можно.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 17:37 
Не в сети

Зарегистрирован: Пт окт 24, 2008 15:35
Сообщений: 163
Bigarov Ruslan писал(а):
2 Strangertlt >

1. В чём выражается отваливание?


После 3828 как я уже сказал стоит свич L3 (3326S) который так же работает по ospf с циской, на нём прописываются интерфейсы с клиентскими адресами. Трафик идёт транком на это свич через 3828 через порт на который я и применяю эти листы доступа. Просто часть клиентов по определённым причинам прописываю на 3828 и забрасываю в туже ветку транком где и 3326S с ospf. Я сделал тест. Пробросил vlan до 3326S от рабочего места по сети и привязал к нему тестовый диапазон. Потом включил компьютер в этом vlan с адресом из этого тестового диапазона, всё хорошо, инет есть и без багов, потом на пути этого трафика я применил листы доступа на 3828 по описанному мной примеру где тестовый диапазон есть в permit и сеть от компа отвалилась, следовательно и у клиентов будет тоже самое как мне кажется. Не могу понять почему отваливается клиентский диапазон адресов если свичи висят в сети после листов доступа тоже на диапазонах которые разрешены в листах и они доступны. Другими словами- разрешил по указанным мной правилам определённый диапазон адресов через 2-й порт а он всёравно отвалился хотя часть диапазонов прописана так же и прекрасно работает.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 18:00 
Не в сети

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти
было бы не плохо если бы тема с ацль+снмп засветилась в dlink faq :)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 20:52 
Не в сети

Зарегистрирован: Чт янв 22, 2009 21:57
Сообщений: 27
Вот рабочее правило разрешающее arp протокол только
172.16.9.0, 172.16.19.0, 172.16.29.0 подсетям на всех портах.

Код:
create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ffff 0xff000000 profile_id 1

config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x09000000 port 1-26 permit
config access_profile profile_id 1 add access_id 27 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x13000000 port 1-26 permit
config access_profile profile_id 1 add access_id 53 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x1d000000 port 1-26 permit

create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ffff 0x0 profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x0000ac10 0x0 port 1-26 deny


Другое блокировать нет смысла.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 13, 2009 20:57 
Не в сети

Зарегистрирован: Чт янв 22, 2009 21:57
Сообщений: 27
Bigarov Ruslan писал(а):
2 Strangertlt >

2 vangog > Используя ACL:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 24 deny

Вы не решите проблему с ARP-ами, так как ACL фильтруют только входящий трафик, соответственно, Вы запретили любой трафик от снифера.

Цитата:
Все работает, в снифере вижу свои пакеты и те непонятные arp запросы типа arp who-has 172.16.37.243 tell 172.16.9.24, которых не может быть в моей сети по определению.


Всё просто, эти ARP пакеты подпадают под первый профиль, поэтому Вы их и видите на снифере.

2 neonman > Можно.


Спасибо. Дошел до этого практическим путем, а Вы это и подтвердили в письменном виде.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб фев 14, 2009 00:04 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
To Strangertlt:

По поводу DES-3326S правильно. По поводу DES-38XX и правил перезвоните пожалуйста в понедельник в офис по телефону 744-00-99 доб.390.

To neonman:

Я Вам описания параметров выслал.

To vangog:

Рад слышать!


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 15 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 35


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB