Доброго времени суток.
Есть DGS-3100-24TG, Firmware: Build 3.00.42.
Есть следующий набор правил (некоторые реальные IP заменены и не имеют отношения к проблеме):
Код:
create access_profile profile_id 1 ip destination_ip_mask 255.255.255.255
create access_profile profile_id 2 ip source_ip_mask 255.255.255.255
create access_profile profile_id 3 ip destination_ip_mask 255.255.255.0
create access_profile profile_id 4 ip source_ip_mask 255.255.255.0
create access_profile profile_id 5 ip destination_ip_mask 255.0.0.255
create access_profile profile_id 6 ip source_ip_mask 255.0.0.255
create access_profile profile_id 7 ip tcp dst_port_mask fc00
create access_profile profile_id 8 ip udp dst_port_mask fc00
config access_profile profile_id 1 add access_id 1 ip destination_ip x.x.x.14 ports 1:(1-24) permit
config access_profile profile_id 2 add access_id 2 ip source_ip x.x.x.14 ports 1:(1-24) permit
config access_profile profile_id 3 add access_id 3 ip destination_ip 10.0.0.0 ports 1:(1-24) permit
config access_profile profile_id 3 add access_id 4 ip destination_ip 10.1.0.0 ports 1:(1-24) permit
config access_profile profile_id 3 add access_id 5 ip destination_ip y.y.168.0 ports 1:(1-24) permit
config access_profile profile_id 3 add access_id 6 ip destination_ip y.y.169.0 ports 1:(1-24) permit
config access_profile profile_id 3 add access_id 7 ip destination_ip y.y.170.0 ports 1:(1-24) permit
config access_profile profile_id 3 add access_id 8 ip destination_ip y.y.171.0 ports 1:(1-24) permit
config access_profile profile_id 4 add access_id 9 ip source_ip 10.0.0.0 ports 1:(1-24) permit
config access_profile profile_id 4 add access_id 10 ip source_ip 10.1.0.0 ports 1:(1-24) permit
config access_profile profile_id 4 add access_id 11 ip source_ip y.y.168.0 ports 1:(1-24) permit
config access_profile profile_id 4 add access_id 12 ip source_ip y.y.169.0 ports 1:(1-24) permit
config access_profile profile_id 4 add access_id 13 ip source_ip y.y.170.0 ports 1:(1-24) permit
config access_profile profile_id 4 add access_id 14 ip source_ip y.y.171.0 ports 1:(1-24) permit
config access_profile profile_id 5 add access_id 15 ip destination_ip 10.0.0.6 ports 1:(1-24) permit
config access_profile profile_id 6 add access_id 16 ip source_ip 10.0.0.6 ports 1:(1-24) permit
config access_profile profile_id 7 add access_id 17 ip tcp dst_port 1 ports 1:(1-24) deny
config access_profile profile_id 8 add access_id 18 ip udp dst_port 1 ports 1:(1-24) deny
Суть: надо запретить все порты до 1024 (как TCP, так и UDP), что достигается в access_profile profile_id 7 и 8, правила 17 и 18,
но разрешить любой трафик к хостам 10.z.z.6 (поясню: это - DHCP-сервер, в разных VLAN-ах виден как 10.2.0.6, 10.5.0.6, 10.8.2.6 и тд), что должно обеспечиваться правилами 15 и 16.
Проблема: правила 15 и 16 не срабатывают, трафик режется на 17 и 18.
Что я делаю не так?
Вход
Регистрация
FAQ
Поиск
