Цитата:
Это нужно реализовывать через PCF.
Добрый человек, это ясно, я так и хочу, просто я жду когда другие добрые люди накидают мне скелеты этих правил, только что-то не спешат пока.
вот я тут накидал правила, и заодно понял что их что-то многовато (для моего количества юзеров на устройстве) получается.
Код:
// разрешаем IP пакеты (source ip + source mac + port)
create access_profile packet_content_mask offset_0-15 0x0 0xFFFF 0xFFFFFFFF 0x0 offset_16-31 0x0 0x0 0x0 0xFFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_0-15 0x0 0xAABB 0xCCDDEEFF 0x0 offset_16-31 0x0 0x0 0x0 0xC0A8 offset_32-47 0x50000 0x0 0x0 0x0 port 1 permit
// разрешаем ARP (source mac + source ip + port)
create access_profile packet_content_mask offset_0-15 0x0 0xFFFF 0xFFFFFFFF 0x0 offset_16-31 0xFFFF0000 0x0 0xFFFF 0xFFFFFFFF offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content_mask offset_0-15 0x0 0xAABB 0xCCDDEEFF 0x0 offset_16-31 0x8060000 0x0 0xAABB 0xCCDDEEFF offset_32-47 0xC0A80005 0x0 0x0 0x0 port 1 permit
// разрешаем PPPoE (source mac + port)
create access-profile ethernet source_mac FF-FF-FF-FF-FF-FF ethernet_type profile 4
config access-profile 4 add access_id 1 ethernet source AA-BB-CC-DD-EE-FF ethernet_type 0x8863 port 1 permit
config access-profile 4 add access_id 2 ethernet source AA-BB-CC-DD-EE-FF ethernet_type 0x8864 port 1 permit
// запрещаем всё остальное на порту
create access-profile ethernet source_mac 00-00-00-00-00-00 ethernet_type profile 200
config access-profile 200 add access_id 1 ethernet source 00-00-00-00-00-00 port 1 deny
Вопросы сейчас вот какие:
1) Смогут ли валидные пользователи по сей правилам присоединяться к IGMP рассылке или создавать свою, чтобы ее смогли смотреть. Если нет, то как выглядят правила, которые еще надо добавить.
2) Вроде я что-то упустил, какие важные сетевые вещи не пройдут по этим правилам?
3) Правильно ли то, что arp reply может отправить только хост, чей мак запрашивают?
4) Допустим у меня настроен IMB. Есть валидная связка ip + mac + port. Есть не валидный ноут. Я врубаю ноут в коммутатор, прописываю на ноуте статик mac сервера pppoe, и пытаюсь начать сессию pppoe с сервером. Мои пакеты будут заблочены?
Вход
Регистрация
FAQ
Поиск
