Обозначилась задача - высвободить один из 9 имеющихся (макс. для 3526) профайлов под другие нужды.
На данный момент есть такой фрагмент:
Код:
# Blocked all ports from 0 to 32767 for 10.0.192.0/20 subnet
# 7
create access_profile packet_content_mask offset_32-47 0xFFFF 0xF0000000 0x80000000 0x0 profile_id 11
config access_profile profile_id 11 add access_id auto_assign packet_content_mask offset_32-47 0xA00 0xC0000000 0x-0 0x0 port 1-5,9-13,17,18,21-24 deny
#
# Access to local net for unblocked users
# 8
create access_profile ip source_ip_mask 255.255.240.0 destination_ip_mask 255.255.240.0 profile_id 15
config access_profile profile_id 15 add access_id auto_assign ip source_ip 10.0.192.0 destination_ip 10.0.192.0 port 1-5,9-13,17,18,21-24 permit
#
# 9
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 profile_id 20
config access_profile profile_id 20 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 port 1-5,9-13,17,18,21-24 deny
Для сохранения функционала, описанного в указанном фрагменте, видится такое решение - удалить профиль 15, а задачу "инвертировать", т.е. "запретить всё от 0 до 32768 порта для подсети 10.0.192.0/20" на "разрешить всё выше порта 32768 для подсети 10.0.192.0/20", изменив профиль 11 до такого вида
Цитата:
# Permit all ports from 32768 for 10.0.192.0/20 subnet
# 7
create access_profile packet_content_mask offset_32-47 0xFFFF 0xF0000000 0x80000000 0x0 profile_id 11
config access_profile profile_id 11 add access_id auto_assign packet_content_mask offset_32-47 0xA00 0xC0000000 0x80000000 0x0 port 1-5,9-13,17,18,21-24 permit
Но есть сомнения, не попадут ли порты 0-32767 под это разрешающее правило??
P.S. До сих пор не могу до конца осмыслить критерии работы с масками..
