актуален. почему нет ?

_________________
LiveComm

В первом посте был пример вида:
config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x87 port 1-24 deny
Ну а я нашел пример в виде:
config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 135 port 1-24 deny

Как всётаки правильно???
Будут ли правлиа работать на 3528 в таком виде?

1. Фильтрация TCP потров 135, 137, 138, 139, 445.
Команды CLI:
create access_profile ip tcp dst_port_mask 0xFFFF deny profile_id 30
config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 135 port 1-24 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 445 port 1-24 deny

2. Фильтрация UDP портов 135, 137, 138, 139, 445
Команды CLI:
create access_profile ip udp dst_port_mask 0xFFFF deny profile_id 40
config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 135 port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 137 port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 138 port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 139 port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 445 port 1-24 deny

посмотрите документацию к вашему свитчу. синтаксис в каждой модели может отличаться, но так то всё должно быть.

_________________
LiveComm

Блокировать самбу и другой IP-трафик на 3528 и 3552 при помощи packet_content смысла я не вижу никакого. Там одно правило ACL может назначаться множеству портов.

т.е.
проще так:
#IP v4 TCP dst-port
create access_profile profile_id 13 profile_name TCP_DST_PORT_filter ip tcp dst_port_mask 0xFFFF
#135
config access_profile profile_id 13 add access_id auto_assign ip tcp dst_port 135 port 1-24 deny
#137
config access_profile profile_id 13 add access_id auto_assign ip tcp dst_port 137 port 1-24 deny
#138
config access_profile profile_id 13 add access_id auto_assign ip tcp dst_port 138 port 1-24 deny
#139
config access_profile profile_id 13 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny
#445
config access_profile profile_id 13 add access_id auto_assign ip tcp dst_port 445 port 1-24 deny

аналогично для UDP.

Т.к. для конфигурирования на этой серии доступен только один PCF его IMHO следует использовать боле экономно т.е. только для тех случаев, когда никаким другим способом задачу не решить.

Arti_ спасибо прописал так))

Хм вот не задача всё вроде прописалось, а сканер портов говорит что UDP портоы 135, 137, 138, 139, 445 открыты, просканил машины на разных портах результат аналогичный......

Ну правильно отфильтрованы ведь только tcp.

Ну а так отфильтрованы UDP или чтото не правильно?
create access_profile profile_id 9 profile_name UDP_DST_PORT_filter ip udp dst_port_mask 0xFFFF
config access_profile profile_id 9 add access_id auto_assign ip udp dst_port 135 port 1-28 deny
config access_profile profile_id 9 add access_id auto_assign ip udp dst_port 137 port 1-28 deny
config access_profile profile_id 9 add access_id auto_assign ip udp dst_port 138 port 1-28 deny
config access_profile profile_id 9 add access_id auto_assign ip udp dst_port 139 port 1-28 deny
config access_profile profile_id 9 add access_id auto_assign ip udp dst_port 445 port 1-28 deny

Отфильтрованы.

Подскажите пожайлуста что обозначает и на что влиет параметр Max Entry (1-50), Zero IP и SLT (0-500) в настройках IMP Binding Port Settings

Если коротко:

1) Max Entry - используется в режиме DHCP Snooping для ограничения кол-ва MAC-адресов которые могут получить с этого порта IP-адрес.
2) Zero IP - это возможность пропуска при настроенном IMP пакетов с source_IP = 0.0.0.0 для корректной работы DHCP.
3) SLT (Stop Learning Threshold) - позволяет заблокировать порт при достижении указанного предела по перебору MAC-адресов, чтобы исключить банальный MAC Spoofing и заполнения таблицы FDB устройства.

спасибо:)

можно пример блокирования PADO на тэгированном и не тэгированном порту?

Конкретно по каким критериям должна осуществляться блокировка трафика или нужно все PADO блокировать?

_________________
С уважением,
Бигаров Руслан.

просто PADO пакеты блокировать, для предотвращения PPPoE серверов на клиентских портах.