1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср авг 06, 2025 20:52

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Ilya Evseev
 Заголовок сообщения: На DGS-3612 не срабатывает ACL
СообщениеДобавлено: Пт май 20, 2011 10:52 
Не в сети

Зарегистрирован: Ср дек 29, 2004 13:18
Сообщений: 115
Откуда: Saint-Petersburg
Имеется трафик, для которого известны:
1) физический порт и vlan, через который он приходит,
1) номер UDP-порта
2) IP- и MAC-адреса отправителя и получателя.

Пробую заблокировать его с помощью ACL, но не получается - трафик проходит дальше.

Первый вариант - не работает:
Код:
create access_profile profile_id 1 ethernet vlan source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 1 add access_id 1 ethernet vlan MyVlan123 source_mac 00-11-22-33-44-55 destination_mac 66-77-88-99-AA-BB  port 1 deny

Второй вариант - тоже не работает:
Код:
create access_profile profile_id 2 ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255 udp
config access_profile profile_id 2 add access_id 1 ip source_ip 1.2.3.4 destination_ip 5.6.7.8 udp  port 1 deny

Если этот же трафик пустить через Линукс-мост, его успешно блокирует правило:
Код:
ebtables -A FORWARD -i eth0 --vlan-id 123 -s 00:11:22:33:44:55 -d 66:77:88:99:aa:bb -p 802_1Q -j DROP

Как должны выглядеть аналогичные правила для DGS-3612?


Последний раз редактировалось Ilya Evseev Пт май 20, 2011 12:39, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Maxim Klyus
 Заголовок сообщения: Re: На 3610 не срабатывает ACL
СообщениеДобавлено: Пт май 20, 2011 11:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср авг 11, 2010 11:29
Сообщений: 416
на каком коммутаторе не работает? можете привести пример пакета который вы хотите заблокировать? причем тут 3610?
Вернуться наверх
 Профиль  
 
Ilya Evseev
 Заголовок сообщения: Re: На 3610 не срабатывает ACL
СообщениеДобавлено: Пт май 20, 2011 12:50 
Не в сети

Зарегистрирован: Ср дек 29, 2004 13:18
Сообщений: 115
Откуда: Saint-Petersburg
Maxim Klyus писал(а):
на каком коммутаторе не работает?

DGS-3612 и DGS-3627.

Maxim Klyus писал(а):
можете привести пример пакета который вы хотите заблокировать?


Набор фильтров ebtables см.выше. Фильтры для tcpdump:
Код:
# tcpdump -ei br0 -c1 vlan 321 and udp and dst port 123 and src host 1.2.3.4 and dst host 5.6.7.8
tcpdump: WARNING: br0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br0, link-type EN10MB (Ethernet), capture size 96 bytes
13:43:41.092927 00:11:22:33:44:55 (oui Unknown) > 66:77:88:99:aa:bb (oui Unknown), ethertype 802.1Q (0x8100), length 346: vlan 321, p 7, ethertype IPv4, 1.2.3.4.54321 > 5.6.7.8.ntp
1 packets captured
23 packets received by filter
0 packets dropped by kernel
#

В правиле фильтрации обязаны учитываться SrcMAC+DstMac, либо по SrcIP+DstIP.
Номер vlan'а и udp-порт в принципе можно не проверять.

Maxim Klyus писал(а):
причем тут 3610?

Очепятка.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: На DGS-3612 не срабатывает ACL
СообщениеДобавлено: Пт май 20, 2011 13:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Правила правильные должно работать.
Проверьте VID, у Вас в примере правила вилан указан как MyVlan123, а в примере с tcpdump VID=321
Вернуться наверх
 Профиль  
 
Ilya Evseev
 Заголовок сообщения: Re: На DGS-3612 не срабатывает ACL
СообщениеДобавлено: Пт май 20, 2011 14:44 
Не в сети

Зарегистрирован: Ср дек 29, 2004 13:18
Сообщений: 115
Откуда: Saint-Petersburg
Alexandr Zaitsev писал(а):
Проверьте VID, у Вас в примере правила вилан указан как MyVlan123, а в примере с tcpdump VID=321

А если номер vlan'a вообще не указан в access_profile, правило фильтрации перехватит тегированные пакеты?
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: На DGS-3612 не срабатывает ACL
СообщениеДобавлено: Пн май 23, 2011 07:41 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Если маска для vlan_id не указана - то vlan_id просто будет игнорироваться, т.е. пакеты будут проверяться по другим указанным параметрам.
Вернуться наверх
 Профиль  
 
atevs
 Заголовок сообщения: Re: На DGS-3612 не срабатывает ACL
СообщениеДобавлено: Сб мар 17, 2012 08:09 
Не в сети

Зарегистрирован: Ср окт 24, 2007 19:34
Сообщений: 12
Device Type : DGS-3627G Gigabit Ethernet Switch
Boot PROM Version : Build 1.10-B09
Firmware Version : Build 2.84.B31

На порты 9-24 приходят тегированные пакеты.
create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 100 ethernet ethernet_type 0x8100 port 9-24 permit counter enable
config access_profile profile_id 1 add access_id 101 ethernet ethernet_type 0x9100 port 9-24 permit counter enable

Counter 0, почему?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: На DGS-3612 не срабатывает ACL
СообщениеДобавлено: Пн мар 19, 2012 12:52 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Речь видимо все же идет не о Ethertype, а о поле TPID в пакете перед идентификатором влана? Если так, то его нужно анализоровать при помощи PCF ACL.
Вернуться наверх
 Профиль  
 
atevs
 Заголовок сообщения: Re: На DGS-3612 не срабатывает ACL
СообщениеДобавлено: Вт мар 20, 2012 07:58 
Не в сети

Зарегистрирован: Ср окт 24, 2007 19:34
Сообщений: 12
Хорошо, как поймать только тегированные пакеты?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: На DGS-3612 не срабатывает ACL
СообщениеДобавлено: Вт мар 20, 2012 16:29 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Путем анализа наличия поля TPID.
Вернуться наверх
 Профиль  
 
atevs
 Заголовок сообщения: Re: На DGS-3612 не срабатывает ACL
СообщениеДобавлено: Вт мар 20, 2012 16:56 
Не в сети

Зарегистрирован: Ср окт 24, 2007 19:34
Сообщений: 12
т.е. только через PCF ACL
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: На DGS-3612 не срабатывает ACL
СообщениеДобавлено: Ср мар 21, 2012 15:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Да.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB