D-Link • Просмотр темы - Фильтруем ненужные ARP-запросы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Фильтруем ненужные ARP-запросы

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 4 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

timo

Заголовок сообщения: Фильтруем ненужные ARP-запросы

Добавлено: Ср ноя 14, 2012 15:24

Зарегистрирован: Вс сен 04, 2005 17:21
Сообщений: 133
Откуда: Москва

Добрый день. Стоит задача ограничить некоторым юзерам arp-запросы только до необходимиых адресов (например, шлюз, dns-сервер), а остальные фильтровать. Помогите понять почему не работают следующие правила (пробовал на DES-3526_3550, fw 5.01 и 6.00b51):

сначала разрешаем arp-request ip 10.1.3.254 на всех портах

Код:

create access_profile packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0xffffffff offset_32-47 0x0 0x0000ffff 0xffff0000 0x0 profile_id 5
config access_profile profile_id 5 add access_id auto packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x08060001 offset_32-47 0x0 0x00000a01 0x03fe0000 0x0 port 1-50 

потом запрещаем все остальные arp-request'ы для юзера на 10 порту с MAC'ом f0:de:f1:d0:46:eb

Код:

create access_profile packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0xffffffff offset_16-31 0x0 0xffffffff 0xffffffff 0x0 profile_id 10
config access_profile profile_id 10 add access_id auto packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x08060001 offset_16-31 0x0 0x0001f0de 0xf1d046eb 0x0

Все равно с клиента сыпятся arp-request'ы на весь диапазон локальной сети. Правила делал по дампу Wireshark:

Вложения:

ws.jpg [ 109.52 KiB | Просмотров: 1652 ]

Вернуться наверх

Nukel

Заголовок сообщения: Re: Фильтруем ненужные ARP-запросы

Добавлено: Ср ноя 21, 2012 12:57

Зарегистрирован: Пн янв 02, 2006 19:48
Сообщений: 50
Откуда: Санкт-Петербург

На 3526 все пакеты внутри тегированы, поэтому нужно сместить правила на 4 байта вправо.

Вернуться наверх

timo

Заголовок сообщения: Re: Фильтруем ненужные ARP-запросы

Добавлено: Ср ноя 21, 2012 16:44

Зарегистрирован: Вс сен 04, 2005 17:21
Сообщений: 133
Откуда: Москва

Спасибо, я уже разобрался. Может кому пригодится:

Цитата:

# allow some arp
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0xFFFF0000 0x0 offset_32-47 0x0 0x0 0x0000FFFF 0xFFFF0000 profile_id 1
config access_profile profile_id 1 add access_id auto packet_content_mask offset_16-31 0x8060000 0x0 0x00010000 0x0 offset_32-47 0x0 0x0 0x00000A01 0x00010000 port 1-49 permit
config access_profile profile_id 1 add access_id auto packet_content_mask offset_16-31 0x8060000 0x0 0x00010000 0x0 offset_32-47 0x0 0x0 0x00000A01 0x01010000 port 1-49 permit
# deny all arp
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0xFFFF0000 0x0 profile_id 2
config access_profile profile_id 2 add access_id 48 packet_content_mask offset_16-31 0x8060000 0x0 0x00010000 0x0 port 48 deny

0x00000A01 0x00010000 - к примеру, это 10.1.0.1

Вернуться наверх

evgbb

Заголовок сообщения: Re: Фильтруем ненужные ARP-запросы

Добавлено: Сб фев 16, 2013 20:07

Зарегистрирован: Ср июн 17, 2009 13:06
Сообщений: 61

А подскажите как написать запрос на 3526, 3200 всех ревизий для разрешрения арп запроса с ип шлюза от любого мака, а далее блокировать все арпы?

Вернуться наверх

Страница 1 из 1

[ Сообщений: 4 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения