1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 30, 2025 01:19

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 13 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
SkyRanger
СообщениеДобавлено: Пн сен 07, 2009 03:19 
Не в сети

Зарегистрирован: Чт авг 06, 2009 01:49
Сообщений: 13
Есть отдельно здание. В нем своя сеть.
Есть des-3528 в порт 25Т включена оптика - входящий коннект от общей сети.
Порты с 1 по 24 используются для пользовательских компов.

Нужно запретить все входящие соединения с внешней сети, т.е. с порта коммутатора 25Т. Но разрешить исходящие соединения во внешнюю сеть по портам:
137,138,139,445,1512, 4072, 5050, 5051, 8080

Все остальные исходящие порты блокировать. Так же между собой только работали виндовые шары.

Пытался так:

Код:
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1 profile_name p1
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 135 port all deny
config access_profile profile_id 1 add access_id 2 ip tcp dst_port 139 port all deny
config access_profile profile_id 1 add access_id 3 ip tcp dst_port 445 port all deny


create access_profile ip udp dst_port_mask 0xFFFF profile_id 2 profile_name p1
config access_profile profile_id 2 add access_id 1 ip udp dst_port 135 port all deny
config access_profile profile_id 2 add access_id 2 ip udp dst_port 139 port all deny
config access_profile profile_id 2 add access_id 3 ip udp dst_port 445 port all deny


Но он естественно обрубает полностью коннекты по портам, а мне нужно чтобы юзвери могли соединится с внешним сервером, но к ним никто не смог залезть.

_________________
...Дорогу осилит Идущий...
www.kob.su
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 06:48 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
дак а нафига в правилах
Код:
port all

указали ?

_________________
LiveComm
Вернуться наверх
 Профиль  
 
SkyRanger
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 07:33 
Не в сети

Зарегистрирован: Чт авг 06, 2009 01:49
Сообщений: 13
svsh1990 писал(а):
дак а нафига в правилах
Код:
port all

указали ?

Мдя... :oops: :oops: :oops:

Спасибо!

Блокирует как надо. Теперь бы вообще все TCP и UDP порты подобным образом прикрыть. Да и самим пользователям оставить только TCP и UDP порты, указанные в первом посте... Как это попроще сделать?

_________________
...Дорогу осилит Идущий...
www.kob.su
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 07:51 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
SkyRanger писал(а):
Спасибо!

Пожалуйста! :)

SkyRanger писал(а):
Блокирует как надо. Теперь бы вообще все TCP и UDP порты подобным образом прикрыть. Да и самим пользователям оставить только TCP и UDP порты, указанные в первом посте... Как это попроще сделать?

Разрешить какие надо, а остальные прибить, т.е. 2-мя профилями.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
SkyRanger
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 08:09 
Не в сети

Зарегистрирован: Чт авг 06, 2009 01:49
Сообщений: 13
svsh1990 писал(а):
Разрешить какие надо, а остальные прибить, т.е. 2-мя профилями.

А как диапазон убиваемых портов указать? Мне желательно вообще все кроме 135,445,1512, 4072, 5050, 5051, 8080 а в примерах и мануале я не увидел как блокировать целые диапазоны.

Это как то так?

_________________
...Дорогу осилит Идущий...
www.kob.su
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 08:10 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
SkyRanger писал(а):
svsh1990 писал(а):
Разрешить какие надо, а остальные прибить, т.е. 2-мя профилями.

А как диапазон убиваемых портов указать?

Код:
dst_port_mask 0xFFFF

_________________
LiveComm
Вернуться наверх
 Профиль  
 
SkyRanger
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 08:27 
Не в сети

Зарегистрирован: Чт авг 06, 2009 01:49
Сообщений: 13
Что-то совсем запутался:

Сейчас правила такие:

Код:
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1 profile_name p1
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 20 port 25 deny
config access_profile profile_id 1 add access_id 2 ip tcp dst_port 21 port 25 deny
config access_profile profile_id 1 add access_id 3 ip tcp dst_port 22 port 25 deny
config access_profile profile_id 1 add access_id 4 ip tcp dst_port 80 port 25 deny
config access_profile profile_id 1 add access_id 5 ip tcp dst_port 135 port 25 deny
config access_profile profile_id 1 add access_id 6 ip tcp dst_port 137 port 25 deny
config access_profile profile_id 1 add access_id 7 ip tcp dst_port 138 port 25 deny
config access_profile profile_id 1 add access_id 8 ip tcp dst_port 139 port 25 deny
config access_profile profile_id 1 add access_id 9 ip tcp dst_port 443 port 25 deny
config access_profile profile_id 1 add access_id 10 ip tcp dst_port 445 port 25 deny
config access_profile profile_id 1 add access_id 11 ip tcp dst_port 546 port 25 deny
config access_profile profile_id 1 add access_id 14 ip tcp dst_port 8080 port 25 deny


и
Код:
create access_profile ip udp dst_port_mask 0xFFFF profile_id 2 profile_name p2
config access_profile profile_id 2 add access_id 1 ip udp dst_port 20 port 25 deny
config access_profile profile_id 2 add access_id 2 ip udp dst_port 21 port 25 deny
config access_profile profile_id 2 add access_id 3 ip udp dst_port 22 port 25 deny
config access_profile profile_id 2 add access_id 4 ip udp dst_port 80 port 25 deny
config access_profile profile_id 2 add access_id 5 ip udp dst_port 135 port 25 deny
config access_profile profile_id 2 add access_id 6 ip udp dst_port 137 port 25 deny
config access_profile profile_id 2 add access_id 7 ip udp dst_port 138 port 25 deny
config access_profile profile_id 2 add access_id 8 ip udp dst_port 139 port 25 deny
config access_profile profile_id 2 add access_id 9 ip udp dst_port 443 port 25 deny
config access_profile profile_id 2 add access_id 10 ip udp dst_port 445 port 25 deny
config access_profile profile_id 2 add access_id 11 ip udp dst_port 546 port 25 deny
config access_profile profile_id 2 add access_id 14 ip udp dst_port 8080 port 25 deny




Получается что по маске 0xFFFF под которую подпадают все порты блокируются порты указанные. Если у входящего на свитч покета указанный порт.

Если я делаю так:

Код:
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 3 profile_name p3
config access_profile profile_id 3 add access_id 14 ip tcp port 25 deny


То вообще все перестает работать во вне по крайней мере...
Как правильно прописать?

_________________
...Дорогу осилит Идущий...
www.kob.su
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 08:40 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
SkyRanger писал(а):
Если я делаю так:

Код:
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 3 profile_name p3
config access_profile profile_id 3 add access_id 14 ip tcp port 25 deny


это вообще некорректно. в профиле указан параметр dst_port_mask, а в правиле он уже не используется!

Используйте маску для фильтровки диапазона!
http://www.dlink.ru/ru/faq/62/201.html

_________________
LiveComm
Вернуться наверх
 Профиль  
 
SkyRanger
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 09:01 
Не в сети

Зарегистрирован: Чт авг 06, 2009 01:49
Сообщений: 13
Тогда получается

Код:
create access_profile ip tcp dst_port_mask 0xFFFE profile_id 3 profile_name p3
config access_profile profile_id 3 add access_id 1 ip tcp dst_port 1 port 25 deny



Только толку ноль

_________________
...Дорогу осилит Идущий...
www.kob.su
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 09:21 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
SkyRanger писал(а):
То вообще все перестает работать во вне по крайней мере...
Как правильно прописать?

А что вы именно хотите такой маской?
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 10:16 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Вы хотите запретить указанные порты или разрешить?
Вернуться наверх
 Профиль  
 
SkyRanger
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 08, 2009 00:08 
Не в сети

Зарегистрирован: Чт авг 06, 2009 01:49
Сообщений: 13
Я хочу запретить все TPC и UDP порты от запросов приходящих из внешней сети. Т.е. все запросы, которые приходят из внешней сети на порт свитча под номером 25

И так же закрыть TPC и UDP порты для портов свитча 1-24, кроме 137,138,139,445,1512, 4072, 5050, 5051, 8080. Т.е. чтобы никакой активности не было со стороны внутренней сети. Т.е. чтобы пользователи моги использовать внутри сети виндовские шары. Имели доступ к серверам вне их сети и к инету. Больше ничего. И желательно разрешить из внутренней сети с портов свитча 1-24 доступ только к ряду IP адресов.

_________________
...Дорогу осилит Идущий...
www.kob.su
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 08, 2009 17:31 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Цитата:
Я хочу запретить все TPC и UDP порты от запросов приходящих из внешней сети. Т.е. все запросы, которые приходят из внешней сети на порт свитча под номером 25

Если это сделать, то пользователи вообще не смогут общаться с внешним миром. Если с TCP еще что-то можно придумать (например порубить пакеты с флагом SYN), то UDP придётся рубить всё.

Внутри сети:
Цитата:
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id auto ip tcp dst_port 137 port 1-24 allow
config access_profile profile_id 1 add access_id auto ip tcp dst_port 138 port 1-24 allow
config access_profile profile_id 1 add access_id auto ip tcp dst_port 139 port 1-24 allow
config access_profile profile_id 1 add access_id auto ip tcp dst_port 445 port 1-24 allow
config access_profile profile_id 1 add access_id auto ip tcp dst_port 1512 port 1-24 allow
config access_profile profile_id 1 add access_id auto ip tcp dst_port 4072 port 1-24 allow
config access_profile profile_id 1 add access_id auto ip tcp dst_port 5050 port 1-24 allow
config access_profile profile_id 1 add access_id auto ip tcp dst_port 5051 port 1-24 allow
config access_profile profile_id 1 add access_id auto ip tcp dst_port 8080 port 1-24 allow

create access_profile ip tcp src_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id auto ip tcp src_port 137 port 1-24 allow
config access_profile profile_id 2 add access_id auto ip tcp src_port 138 port 1-24 allow
config access_profile profile_id 2 add access_id auto ip tcp src_port 139 port 1-24 allow
config access_profile profile_id 2 add access_id auto ip tcp src_port 445 port 1-24 allow
config access_profile profile_id 2 add access_id auto ip tcp src_port 1512 port 1-24 allow
config access_profile profile_id 2 add access_id auto ip tcp src_port 4072 port 1-24 allow
config access_profile profile_id 2 add access_id auto ip tcp dst_port 5050 port 1-24 allow
config access_profile profile_id 2 add access_id auto ip tcp src_port 5051 port 1-24 allow
config access_profile profile_id 2 add access_id auto ip tcp src_port 8080 port 1-24 allow

create access_profile ip tcp dst_port_mask 0x0000 profile_id 2
config access_profile profile_id 3 add access_id auto ip tcp dst_port 0 port 1-24 deny
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 13 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 39

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB