D-Link • Просмотр темы - Проблема с ACL

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Проблема с ACL

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 4 из 5

[ Сообщений: 66 ]

На страницу Пред. 1, 2, 3, 4, 5 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

snark

Заголовок сообщения:

Добавлено: Ср мар 25, 2009 22:48

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

Swingstar писал(а):

Правила не помогли, проблема периодически возникает как и с предыдущими правилами.

раз они у Вас не работают, тогда может приведете ACL которые _сейчас_ есть на свиче в тот момент когда правила не срабатывают? только тег code не забывайте

Swingstar писал(а):

Скажите, почему так? Почему с линуксом такой проблемы нет, а с 3526 есть?

свич от линуха в режиме моста с ebtables отличается тем что кол-во трафика его не грузит

_________________
с уважением, БП

Вернуться наверх

Swingstar

Заголовок сообщения:

Добавлено: Вс мар 29, 2009 20:31

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40

snark писал(а):

Swingstar писал(а):

Правила не помогли, проблема периодически возникает как и с предыдущими правилами.

Код:

create access_profile                                        ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         135 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         137 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         138 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         139 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         445 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port        2869 port 1-26 deny

create access_profile                                        ip udp dst_port_mask 0xffff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         135 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         137 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         138 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         139 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         445 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port        1900 port 1-26 deny

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пн мар 30, 2009 12:06

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

2 Swingstar > ACL правильные и SMB трафик они блокируют, но в описании проблемы и следующих постах я не вижу никакой информации о том, что Вы проверялипо каким портам обращаются к серверу, какая загрузка CPU, хватает ли ресурсов оперативной памяти и swap-а, какими процессами загружен сервер, что появляются задержки в ответах. Что касаемо DES-3526, то я не увидил информации по загрузке CPU коммутатора, и если Вы используете механизм в ACL что незапрещено, то разрешено, то нужно учитывать и эту особенность.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Пн мар 30, 2009 14:42

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

Swingstar писал(а):

опять стоит 3526 с теми же правилами на нетбиос + закрытым мультикастом, ip-broadcast и вкл. штормом.

к приведенным выше ACL добавьте:

Код:

# для ARP бродкаст нужен
create access_profile                                        ethernet ethernet_type       profile_id 3
config access_profile profile_id 3 add access_id auto_assign ethernet ethernet_type 0x806 port  1-26 permit

# а потом его можно и нужно запретить :)
create access_profile                                        ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 4
config access_profile profile_id 3 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-26 deny

Swingstar писал(а):

create access_profile ip destination_ip 240.0.0.0 profile_id 40
config access_profile profile_id 40 add access_id 1 ip destination_ip 224.0.0.0 port 1-26 deny

так Вы мультикаст точно не закрыли

его надо закрывать как нить так:

Код:

config igmp_snooping querier all state enable
config igmp_snooping all state enable
enable igmp_snooping

config router_ports_forbidden <имя VLAN> add <список клиентских портов>

config multicast port_filtering_mode <список клиентских портов> filter_unregistered_groups

create multicast_range mcast from 224.0.0.0 to 239.255.255.255
config limited_multicast_addr ports <список клиентских портов> add multicast_range mcast
config limited_multicast_addr ports <список клиентских портов> access deny state enable

а Ваше правило ACL для мультикаста ничего не сделает

_________________
с уважением, БП

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Пн мар 30, 2009 17:48

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

snark,
может показаться странным, но оно работает ..

Но правильнее твой вариант ...

Человек в этом не шибко разбирается, и я его не сильно грузил настройкой мультикаста.

Вернуться наверх

HotatDog

Заголовок сообщения:

Добавлено: Чт апр 02, 2009 21:47

Зарегистрирован: Ср мар 25, 2009 19:35
Сообщений: 16

Народ подскажите как сделать cpu filtering на DES-3026
Возможноли закрыть порты виндовые етим способом в инете не нашел путнего мана

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Пт апр 03, 2009 07:27

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

на DES-3026 ты ничего не закроешь ...

и cpu filtering не поможет.

Вернуться наверх

Swingstar

Заголовок сообщения:

Добавлено: Сб апр 11, 2009 20:09

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40

Ни к чему эти правила не приводят! Связь так и рвется. Ставлю камп с линуксом - все работает. "Нич-ч-чего не понимаю" (с)

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Сб апр 11, 2009 23:35

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Я тебе уже говорил, запусти снифер и мониторь, что у тебя на порт валит.

Вернуться наверх

HotatDog

Заголовок сообщения:

Добавлено: Пн апр 13, 2009 11:12

Зарегистрирован: Ср мар 25, 2009 19:35
Сообщений: 16

У меня задача состоит в том чтобы клиенты могли конектиться только к определенному VPN серверу, а если человек конектиться к другому его банить
определять нужно по ip
пример моего кода

Код:

create access_profile ip destination_ip_mask 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 1
#разрешаем доступ на наш сервер
config access_profile profile_id 1 add access_id 1 ip destination_ip 10.0.0.254 tcp dst_port 1723  port 1-50 permit
#запрешаем все остальное
create access_profile ip destination_ip_mask 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip destination_ip 0.0.0.0 tcp dst_port 1723  port 1-50 deny

В чем трабла подскажите весь тернет обыскал фиг

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Пн апр 13, 2009 12:01

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

HotatDog писал(а):

В чем трабла подскажите

в маске ... сделайте так:

Код:

# разрешаем доступ на сервер
create access_profile                              ip destination_ip_mask 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip      10.0.0.254      tcp dst_port        1723  port 1-50 permit

# запрешаем все остальное
create access_profile                              ip destination_ip_mask 0.0.0.0 tcp dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip destination_ip      0.0.0.0 tcp dst_port        1723  port 1-50 deny

_________________
с уважением, БП

Вернуться наверх

HotatDog

Заголовок сообщения:

Добавлено: Пн апр 13, 2009 13:59

Зарегистрирован: Ср мар 25, 2009 19:35
Сообщений: 16

Спасибо большое!!!:))

Я уже сам допер в последнию минуту перед окончанием рабочего дня весь день убил на это:(

Вернуться наверх

kasat

Заголовок сообщения:

Добавлено: Чт окт 08, 2009 10:43

Зарегистрирован: Вс мар 11, 2007 02:47
Сообщений: 34

Добрый день ув. сотрудники длинка
имеем 3526, включаю на нем:
1. enable dhcp_local_relay -включилось
2. config filter dhcp_server - тоже
3. Command: config filter extensive_netbios 1-24 state enable

Warning ! The switch does not have enough access profiles.
Fail!

Command: show access_profile
.......
ACL Free: System : 603, Port 1-8 : 154, Port 9-16 : 144, Port 17-24: 149
Port 25 : 78 , Port 26 : 78
Total Access Entries : 197

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Чт окт 08, 2009 10:58

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

kasat писал(а):

The switch does not have enough access profiles.

в поиск!

_________________
с уважением, БП

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт окт 08, 2009 11:47

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

2 kasat > Поскольку данный функционал базируется на стандартных ACL и судя по сообщениям Вы использовали все доступные профили и для использования данной функции Вам одного и не хватает.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Страница 4 из 5

[ Сообщений: 66 ]

На страницу Пред. 1, 2, 3, 4, 5 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 189

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения