коммутаторы DES-3526 и 3028
на определённом порту нужно порезать всё кроме pptp, pppoe, icmp
реально это сделать средствами ACL?
если кто делал - может подкинет пример
Просто в некоторых портах на домах воткнуты Wi-Fi точки - и хочется чтобы там ничего не ходила кроме интернета - интернет подаётся по pptp и pppoe
поэтому и хотелось бы всё кроме ppp и icmp порезать на порту - куда воткнута точка доступа

реально


посмотрите тут да и вообще поиском по форуму столько всего найти сможете - только успевайте выбирать

_________________
с уважением, БП

имеем: pptp сервер, на доступе 3526.
встала задача ограничить на абонентском порту 80 port (http) в gre.

правила написал исходя из мануала:
create access_profile packet_content_mask offset_16-31 0x0 0x0 0x000000ff 0x0 offset_64-79 0x0 0x0 0x0 0xffff0000 profile_id 5
config access_profile profile_id 5 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x0000002f 0x0 offset_64-79 0x0 0x0 0x0 0x00500000 port 7 deny

tcpdump'ом вижу, что в гре обращения на/с 80 порт проходят успешно.
что неправильно в правиле?

На DES-3526, используя PCF, нужно всегда учитывать tag 802.1q, а на DES-3028 в зависимости от того: входящий пакет с tag или без.

_________________
С уважением,
Бигаров Руслан.

Руслан, если фильтрация осуществляется на нетегированном порту, надо тоже учитывать tag 802.1q?

тег при написании PCF правил:
3028 - для untagged портов - не учитывается, для tagged - учитывается
3526 - учитывается и для untagged и для tagged

_________________
с уважением, БП

snark подскажите, что добавить в правило?

Выборка по dst port 80 осуществляется неправильно настроена.

_________________
С уважением,
Бигаров Руслан.

прошу еще раз помощи.
есть des-3526. необходимо резать netbios в gre.
выше упомянуто, что необходимо в серии коммутаторов 35хх указывать vid vlan для этих целей.

исходя из манула написал правило:
vid - 1001

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x00000fff offset_16-31 0x0 0x0 0x000000ff 0x0 offset_64-79 0x0 0x0 0x0 0xffff0000 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x0 0x000003e9 offset_16-31 0x0 0x0 0x0000002f 0x0 offset_64-79 0x0 0x0 0x0 0x01bd0000 port 1 deny

верно ли оно?

Похоже

445-й порт

порт назначения 445

ЗЫ посты быстро редактируются


тогда следующий вопрос:
аналогично этому правилу создаю правило, для фильтрования 80 порта:
config access_profile profile_id 1 add access_id 2 packet_content_mask offset_0-15 0x0 0x0 0x0 0x000003e9 offset_16-31 0x0 0x0 0x0000002f 0x0 offset_64-79 0x0 0x0 0x0 0x00500000 port 1 deny

подцепившись по ssh на хост, который находится на 1 порту, могу спокойно обратиться к любому web.

что не верно в этом правиле?

На тестовом стенде данное правило отработало корректно, какая у Вас версия прошивки на коммутаторе?

DES-3550:admin#sh sw
Command: show switch

Device Type : DES-3550 Fast-Ethernet Switch
Combo Port Type : 1000Base-T + 1000Base-T
MAC Address : 00-1C-F0-9D-78-32
IP Address : 10.90.90.198 (Manual)
VLAN Name : managers
Subnet Mask : 255.255.255.0
Default Gateway : 10.90.90.1
Boot PROM Version : Build 5.00.009
Firmware Version : Build 5.01.B52
Hardware Version : A4
Serial Number :
Power Status : Main - Normal, Redundant - Not Present
System Name : S/N: PL0K181000505
System Location : B.M 61
System Contact :
Spanning Tree : Disabled
GVRP : Disabled
IGMP Snooping : Enabled
TELNET : Enabled (TCP 23)
SSH : Disabled
WEB : Enabled (TCP 80)
RMON : Disabled
Asymmetric VLAN : Disabled
Password Encryption Status : Disabled

На тестовом стенде я использовал прошивку версии 6.00.B32, запросите, пожалуйста, в соответствующей теме.