у меня просьба помочь написать ацл для DES 1210-28
Boot Version 1.00.002
Firmware Version 5.20.B005
Hardware Version A1

есть:
сервер1 192.168.120.1 (роутер)
сервер2 192.168.120.2 (впн-билинг)
маска 255.255.248.0
задача: запретить со всей сети доступ к серверу2, разрешить доступ к серверу2 только по впн (порт 1723) и протоколу 47 (необходим для впн)
потом я по аналогии создам возможно нужные правила для сервера1
ssh,ftp,https для своей машины думаю после всего сделаю сам (тут вроде понятно что source_ip_mask
будет 255.255.255.255, а suorce_ip 192.168.120.4) и аналогично для второго админа

пока пробую вот так (пробую просто все запретить, для тренировки выбрал на свиче порт №1):
create access_profile profile_id 4 ip protocol_id_mask 0xff source_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.255
config access_profile profile_id 4 add access_id 18 ip protocol_id 0 source_ip 0.0.0.0 destination_ip 192.168.120.2 ports 1 deny
create access_profile profile_id 8 ip protocol_id_mask 0x00 source_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.255
config access_profile profile_id 8 add access_id 19 ip protocol_id 0 source_ip 0.0.0.0 destination_ip 192.168.120.2 ports 1 deny
(следующее правило закрывает доступ по фтп, ссш и возможно другим портам, но не всё)
create access_profile profile_id 5 ip tcp dst_port_msk 0x0000 source_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.255
config access_profile profile_id 5 add access_id 6 ip tcp dst_port 0 source_ip 0.0.0.0 destination_ip 192.168.120.2 ports 1 deny
create access_profile profile_id 6 ip udp dst_port_msk 0x0000 source_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.255
config access_profile profile_id 6 add access_id 12 ip udp dst_port 0 source_ip 0.0.0.0 destination_ip 192.168.120.2 ports 1 deny

при этом основная масса портов остается открытыми, напр, впн продолжает конектиться, https работает, даже вэб грузиться

В какой порт подключены клиенты и в какой сервер? Обратите внимание, что правила работают только на входящий трафик!

В этих правилах я вообще не заметил где Вы порты указываете.

я сам пока включен в порт 1, дописать что это будет с 1 по 24 легко через тире 1-24, указано вот где:
config access_profile profile_id 4 add access_id 18 ip protocol_id 0 source_ip 0.0.0.0 destination_ip 192.168.120.2 ports 1 deny
и я понимаю что это будет именно входящий с этого порта трафик, тоесть я пока что сам выступаю в роли юзера, а сервер тоже вроде понятно, это
destination_ip 192.168.120.2
и входящим он будет для свича, входящим именно с абонента, тоесть пока что с меня
на сколько я понимаю, в создании профиля (команда create access_profile profile_id) не нужно указывать адрес сервера, а только маску, раз стоит 255.255.255.255, то конфигурируемое правило будет распространяться только на один адрес указанный в этом конкретном правиле

можно узнать что там с моим вопросом? или я до сих пор не ясно описал ситуацию?

Уточните, что Вы хотите запретить вот таким правилом:
И где у Вас разрешающие правила, если Вы хотите разрешить определенный трафик? Вы сам трафик сниффером смотрели, чтобы понять его структуру?

Я уже писал что хочу запретить пока что все, разрешающие правила создать легче если есть запрещающие, а в данном случае хотел запретить все протоколы, не порты , а именно протоколы, насколько я знаю впн работает по порту 1723 и протоколу 47, так что другие правила для портов
да и по логике вещей, сперва создаются запрещающие потом разрешающие. но толку с запрещающих если они не могут запретить все?

Так собственно вот это правило уже блокирует весь IP трафик:

У меня на стенде оно работает, после его создания я по 80-му порту уже не могу зайти на тестовое устройство.
Попробуйте удалить остальные, созданные Вами на коммутаторе правила и проверьте ситуацию еще раз. Прошивку со своего стенда я Вам выслал.

у меня к сожалению пока ничего на почте нет
вот моя конфигурация
Boot Version 1.00.002
Firmware Version 5.20.B005
Hardware Version A1

правила на свиче только те что я здесь написал, у меня тоже по 80 порту прикрывает, но по 1723 конектится, и не только по этому

Прошивку повторил. Если Вы проверяете через доступ к WebUI самого устройства, то обычные ACL такой трафик не блокируют.

прошивку получил, спасибо, проверил, но вот сижу в инете через тестируемый свич.
дело в том что, насколько я знаю, впн к вэбуи не относится, да, оно прикрывает ссш, телнет, фтп, но всякий флуд в сторону сервера идет, вот и хочется все прикрыть кроме впн, так что был бы благодарен если подскажите как прикрыть весь трафик к серверу

Укажите, пожалуйста, более подробно топологию стенда. Какой Ваш IP, какой IP VPN сервера и на какие физические порты коммутатора Вы повесили правила, то есть конечный вариант правил. IMPB используется на коммутаторе?
P.S. сейчас дополнительно проверил и впн:

При таких настройках я к VPN серверу x.x.x.x подключиться не могу, находясь на 1-ом порту.

повторюсь,
впн сервер 192.168.12.2
порт на комутаторе 1
мой адрес 192.168.12.4
на этом комутаторе IMPB не использую, но вообще на других свичах он включен и настроен, правда не пойму зачем он в этой ситуации?
топология:
мой комп> свич 1210 первый порт> свич 3120> впн сервер

Пользуйтесь, пожалуйста, пунктуацией и не меняйте IP-адреса источника/получателя в каждом новом сообщении. Почему у Вас VPN сервер на первом порту, а не клиент на первом порту?
Клиента поместите на первый порт, а VPN сервер в любой другой. Правила вот такие:

а при чём тут то что я адреса меняю? главное я знаю куда подставлять, в какое место правила, и повторюсь, клиент впн подключен на первый порт
может я где то пунктуацию и не совсем правильно написал, если не понятна конфигурация, то поясню ещё раз:
мой комп > первый порт комутатора, не 11 или какой то другой, а именно порт №1 >через порт 27 на свиче 1210 включен в порт 3 свича 3120 >впн сервер
я ведь тоже клиент впн так что думаю правильно подключен и описан
и ещё раз правило не работает к сожалению.
вот перечень портов, в нем хорошо видно кто куда подключен, и если бы был не правильно подключен, то тогда бы правило вообще не действовало, а я повторюсь, часть портов прикрывается, тот же 80 прикрывается, но впн продолжает работать, так что с портами все в порядке
1 100M Full Auto AUTO Disabled
2 Down Auto AUTO Disabled
------
23 Down Auto AUTO Disabled
24 Down Auto AUTO Disabled
25(C) Down Auto AUTO Disabled
25(F_1G) Down Auto AUTO Disabled
25(F_100) Down 100M Full AUTO Disabled
26(C) Down Auto AUTO Disabled
26(F_1G) Down Auto AUTO Disabled
26(F_100) Down 100M Full AUTO Disabled
27 1000M Full Auto AUTO Disabled
28 Down Auto AUTO Disabled

Пришлите мне, пожалуйста, на почту конфигурацию устройства с указанием управляющего влана, порта на котором он задан, IP коммутатора и пары username/password.