faq обучение настройка
Текущее время: Ср июл 23, 2025 16:49

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 15 ] 
Автор Сообщение
СообщениеДобавлено: Сб янв 29, 2011 14:27 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Кто-нибудь реализовывал подобное на DES-3526?
Собственно вопрос вот в чём: как максимально ограничить межабонентский трафик на свитче (особенно "стандартные" сервисы), обеспечив при этом нормальное функционирование локального торрента?
И каким образом (пример) сиё возможно реализовать?
Доступ к треккеру не учитываем, для легальных пользователей он разрешен "выше".
Задача осложняется еще и тем, что в наличии всего два свободных access профиля (7 уже задействованы). Плюс к этому неплохо бы еще и запретить полностью весь p2p для заблокированных пользователей. Ну это не критично, т.к. если будет работать первое, организовать p2p заблокированным без доступа к треккеру вряд ли удасться. Ну разве что особо продвинутым, которых в расчет не берем, по причине практически их полного отсутствия.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн янв 31, 2011 14:46 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Вопрос в контексте поставленной задачи - возможно ли в PCF ACL создать правило, блокирующее диапазон портов для определенной подсети? Например, закрыть порты ниже 10 000 для подсети 10.0.192.0/20.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн янв 31, 2011 15:50 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
диапазон портов закрыть можно, но только не по условию (<10000), а по маске.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн янв 31, 2011 16:07 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Alexandr Zaitsev писал(а):
диапазон портов закрыть можно, но только не по условию (<10000), а по маске.

Ну это понятно, что по маске. Просто непонятно, как это (рассчитать и применить маску) конкретно сделать в PCF и соответственно еще для подсети.
Примерчик можно увидеть?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн янв 31, 2011 16:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Вот здесь указано, как работать с маской: http://dlink.ru/ru/faq/62/201.html


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн янв 31, 2011 20:06 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
Вот здесь указано, как работать с маской: http://dlink.ru/ru/faq/62/201.html

С масками вроде худо-бедно разобрался, а вот как прописать их в ACL и что указывать в качестве параметра в конфиге? "Нижнее" значение?
Вот например, правильно ли у меня составлен ACL для решения задачи - запретить диапазон портов от 20 до 16000 в подсети 10.0.192.0/20 (10.0.192.1 - 10.0.207.255)?
Согласно моим расчетам, для портов маска C000 закроет диапазон от 0 до 16383, а для подсетей маска FFFF F000 закроет ровно требуемый диапазон.
Цитата:
create access_profile packet_content_mask offset_16-31 0x0 0x0 0x0 0x0000FFFF offset_32-47 0xF000FFFF 0xF0000000 0xC0000000 0x0 profile_id 1

config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x0 0x00000A00 offset_32-47 0xC0000A00 0xC0000000 0x00140000 0x0 port 1-24 deny


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт фев 01, 2011 15:25 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Уточните, пожалуйста, задачу. Вам нужно заблокировать пакетики с dst IP: 10.0.192.0/20 и dst port 0-16383 ? Нельзя просто заблокировать диапазон 20 - 16000, нужно сначала разрешить 0-20 и 16000 - 16383, затем запретить 0 - 16383.
P.S. Это довольно округленная последовательность действий, в действительности нужно смотреть на какие части можно маской разбить диапазон 0-16383 и пересечением полученных множеств добиться в результате диапазона 20 - 16000.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт фев 01, 2011 17:06 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
Уточните, пожалуйста, задачу. Вам нужно заблокировать пакетики с dst IP: 10.0.192.0/20 и dst port 0-16383 ? Нельзя просто заблокировать диапазон 20 - 16000, нужно сначала разрешить 0-20 и 16000 - 16383, затем запретить 0 - 16383.
P.S. Это довольно округленная последовательность действий, в действительности нужно смотреть на какие части можно маской разбить диапазон 0-16383 и пересечением полученных множеств добиться в результате диапазона 20 - 16000.

Задача в контексте темы: запретить обмен между пользователями подсети 10.0.192.0/20 по портам 0-16000 ("верхний" можно сдвинуть вниз до 10000, или вверх до 28000-30000, что даже предпочтительнее). Т.о. "рамки" диапазона портов можно двигать вверх, если это поможет в решении задачи минимальными средствами.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт фев 01, 2011 17:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Данное правило запрещает пакеты по dst IP: 10.0.192.0/20 и dst порту 0 - 32767:
Код:
create access_profile packet_content_mask offset_32-47 0xffff 0xf0000000 0x80000000 0x0 profile_id 10
config access_profile profile_id 10 add access_id 1 packet_content_mask offset_32-47 0xa00 0xc0000000 0x0 0x0 port <port_list> deny


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт фев 01, 2011 18:51 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
Данное правило запрещает пакеты по dst IP: 10.0.192.0/20 и dst порту 0 - 32767:
Код:
create access_profile packet_content_mask offset_32-47 0xffff 0xf0000000 0x80000000 0x0 profile_id 10
config access_profile profile_id 10 add access_id 1 packet_content_mask offset_32-47 0xa00 0xc0000000 0x0 0x0 port <port_list> deny

Ок. Спасибо. Будем тестить..
P.S. Я так понимаю, что для решения этой задачи нет смысла указывать src ip и src port? В данном случае они излишни и создают доп. нагрузку на процессор свитча? Так?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср фев 02, 2011 09:09 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
KovAl59 писал(а):
Я так понимаю, что для решения этой задачи нет смысла указывать src ip и src port? В данном случае они излишни и создают доп. нагрузку на процессор свитча? Так?

Это излишне. Ждем Ваших результатов.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср фев 02, 2011 10:33 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Artem Kolpakov писал(а):
Ждем Ваших результатов.

Кстати, о результатах - их как-то возможно посмотреть со стороны оператора? В 3526 есть счётчики пакетов, попавших в ацл?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср фев 02, 2011 10:35 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Таких счетчиков нет, к сожалению.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср фев 09, 2011 11:06 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Artem Kolpakov писал(а):
Ждем Ваших результатов.

Все работает, как требуется. Спасибо за помощь!


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт мар 01, 2011 11:08 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Обозначилась задача - высвободить один из 9 имеющихся (макс. для 3526) профайлов под другие нужды.
На данный момент есть такой фрагмент:
Код:
# Blocked all ports from 0 to 32767 for 10.0.192.0/20 subnet
# 7
create access_profile packet_content_mask offset_32-47 0xFFFF 0xF0000000 0x80000000 0x0 profile_id 11
config access_profile profile_id 11 add access_id auto_assign packet_content_mask offset_32-47 0xA00 0xC0000000 0x-0 0x0 port 1-5,9-13,17,18,21-24 deny
#
# Access to local net for unblocked users
# 8
create access_profile ip source_ip_mask 255.255.240.0 destination_ip_mask 255.255.240.0 profile_id 15
config access_profile profile_id 15 add access_id auto_assign ip source_ip 10.0.192.0 destination_ip 10.0.192.0 port 1-5,9-13,17,18,21-24 permit
#
# 9
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 profile_id 20
config access_profile profile_id 20 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 port 1-5,9-13,17,18,21-24 deny

Для сохранения функционала, описанного в указанном фрагменте, видится такое решение - удалить профиль 15, а задачу "инвертировать", т.е. "запретить всё от 0 до 32768 порта для подсети 10.0.192.0/20" на "разрешить всё выше порта 32768 для подсети 10.0.192.0/20", изменив профиль 11 до такого вида
Цитата:
# Permit all ports from 32768 for 10.0.192.0/20 subnet
# 7
create access_profile packet_content_mask offset_32-47 0xFFFF 0xF0000000 0x80000000 0x0 profile_id 11
config access_profile profile_id 11 add access_id auto_assign packet_content_mask offset_32-47 0xA00 0xC0000000 0x80000000 0x0 port 1-5,9-13,17,18,21-24 permit

Но есть сомнения, не попадут ли порты 0-32767 под это разрешающее правило??
P.S. До сих пор не могу до конца осмыслить критерии работы с масками.. :oops:


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 15 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 44


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB