Задался задачей перевести правила с 3526 на 3200. Правила следующие в порядке обработки:

1. Запретить порти (136-139,445)
2. Разрешить АРП с диапазона адресов (для незарегистрированних юзеров)
3. Разрешить ІР с диапазона адресов на диапазон адресов (для незарегистрированних юзеров только локалка)
4. Разрешить ІР для пар МАС и ІР куда угодно (для тех кто зарегестрирован)
5. Разрешить АРП для пар МАС и ІР
6. Запретить для всех

Как я думал сделать. Правила 1, 3, 6 - без использования PCF - ибо можна и так. А правила 2,4,5 - ясно дело - только с PCF. Итого виходит 9 (соответственно по 2, 3, 6) UDF полей.

НО.

В етом устройстве "цитата":



Значит не получается комбинировать PCF и обичние правила. Не вопрос, пишем все через PCF. Итого имеем аж 19 UDF полей.

НО.



Оказивается, девайс на всего себя допускает ТОЛЬКО 11 PCF полей. Кстате, не посчитайте за труд, тикните носом, где в документации или на сайте/форуме указано ето ограничение? Дошел до десятой вкладки по поиску на форуме - не нашел даже намека на ето.

Ладно. Если занятся оптимизацией (можно задавать дополнительние маски прямо в config access_profile), то можно уменьшить количество UDF полей до 17 - но ето не спасет "отца русской демократии".


Резюме. Как на девайсе типа 3200 реализовать данний алгоритм фильтрации? Буду страшно рад если ето таки возможно , ибо на свою голову есть более полусотни таких 3200.

П.С. На "черном" ринке, цена на 3526 уже дошла до 250-280$ (тоесть дороже чем 3200-26) и рекомендуют брать, т.к. к зиме будет по 300$.

П.П.С. Как мне показалось фильтр по МАС адресу тоже считается за UDF поле.

Есть идея:

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 8 0xFFFF offset3 l3 10 0xFFFF offset4 l3 12 0xFFFF offset5 l3 14 0xFFFF offset6 l3 16 0xFFFF offset7 l3 18 0xFFFF profile_id 15

Такой монстр охвативает 14 байт заголовка. В теории его можно заставить мониторить 20 байт пакета и 2 байта протокола. (ето если фильтрация по МАС ничего не стоит).

Я собираюсь в access_id накладивать еще маски. Типа "разрешить все ІР для исходящих ІР адресов где четвертий байт больше 192 на 10.11.12.13":

config access_profile profile_id 15 add access_id 2 packet_content offset1 0x0800 offset2 0x0 mask 0x0 offset3 0x0 mask 0x0 offset4 0x0 mask 0x0 offset5 0x00c0 mask 0x00c0 offset6 0x0a0b offset7 0x0c0d port 1-24 permit

Но если сюда нужно еще и МАС прикрутить, то придется создавать отдельное правило ибо на МАС дополнительние маски не придусмотрени.

Девайс 3200 такие правила принял. Буду тестить.

Первичние тести прошли. Значит, отвечая сам - себе на первий пост: можно сделать, нужно только что-би всех необходимих кусочков (по 2 байта каждий), по которим необходимо фильтровать, било не больше 11. Точнее их может бить больше 11, но кусочки которие находится на одном смещении от начала L2, L3, L4 считаются за один (даже если ето пакети различних протоколов, например ARP и IP).

Извратно, но можно.

Всего можно использовать 11 offset, а использовать только половину offset (1 байт) или 2 байта - не важно.
Пример написания правил есть на нашем сайте: http://dlink.ru/ru/faq/62/954.html
P.S. Задача, насколько я понял, решена?

По примеру и делалось, но к пониманию того, что пакети различних протоколов нужно фильтровать одним правилом, пришел не сразу.

Задача решена.

Дополение. Если фильтровать пакети, где нет L4 (ARP пакети например) по L4, то правило применятся не будет.





А ето все значит, что вишеприведенним правилом фильтровать ARP нельзя. Нужно или L4 винести в отбельное правило, или в отдельное правило винести фильтр на ARP.

Именно так.