1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 29, 2025 00:55

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 19 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
hsvt
СообщениеДобавлено: Пт мар 29, 2013 13:46 
Не в сети

Зарегистрирован: Вт июл 27, 2010 21:04
Сообщений: 188
Не буду плодить темы. Вопрос касательно ACL на DES-3200-28 С1 4.34.B013
Нужно реализовать вот такие правила:
1) Блокировать snmp запросы от портов 1-24 в сторону адресов наших сетей.
2) Разрешить netbios трафик TCP/UDP (445, 135 порты) на адрес 1.1.1.0/24 и весь остальной netbios запретить с 1-24

create access_profile profile_id 3 profile_name snmp_netbios_off_2 ip destination_ip_mask 255.0.0.0 protocol_id_mask 0xFF user_define_mask 0xFFFFFFFF
config access_profile profile_id 3 add access_id auto_assign ip destination_ip 1.1.0.0 mask 255.254.0.0 protocol_id 17 user_define 0xA10000 port 1-24 deny
config access_profile profile_id 3 add access_id auto_assign ip destination_ip 1.1.0.0 mask 255.254.0.0 protocol_id 17 user_define 0xA20000 port 1-24 deny

config access_profile profile_id 2 add access_id auto_assign ip destination_ip 1.1.1.0 mask 255.255.255.0 protocol_id 6 user_define 0x1BD000 port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 1.1.1.0 mask 255.255.255.0 protocol_id 6 user_define 0x8B0000 port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 1.1.1.0 mask 255.255.255.0 protocol_id 17 user_define 0x1BD000 port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 1.1.1.0 mask 255.255.255.0 protocol_id 17 user_define 0x8B0000 port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0x1BD000 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0x8B0000 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0x870000 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0x890000 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0x8A0000 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0xB35000 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x1BD000 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x8B0000 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x870000 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x890000 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x8A0000 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x76C000 port 1-24 deny

Подключен в данный момент через этот свитч в 23 порт прописал 1 вариант - не срабатывает.

----------------------- New Test -----------------------
Paessler SNMP Tester 3.2
Device: 1.1.1.1

29.03.2013 14:45:25 (2 ms) : Start using SNMP V2c
29.03.2013 14:45:25 (10 ms) : -------
29.03.2013 14:45:25 (11 ms) : Value: 1093092
29.03.2013 14:45:25 (12 ms) : Done

Подскажите пожалуйста мои ошибки.
Вернуться наверх
 Профиль  
 
hsvt
СообщениеДобавлено: Пт мар 29, 2013 18:13 
Не в сети

Зарегистрирован: Вт июл 27, 2010 21:04
Сообщений: 188
show access_profile

Access Profile Table

Total User Set Rule Entries : 2
Total Used HW Entries : 126
Total Available HW Entries : 898

================================================================================
Profile ID: 1 Profile name: Type: Ethernet

MASK on

Available HW Entries : 194
================================================================================


================================================================================
Profile ID: 2 Profile name: snmp_netbios_off_2 Type: IPv4

MASK on
Dest IP : 255.255.0.0
Protocol ID : 0xFF
UserMask : 0xFFFFFFFF

Available HW Entries : 192
--------------------------------------------------------------------------------
Rule ID : 1 (auto assign) Ports: 1-24

Match on
Dest IP : 1.1.0.0 Mask : 255.254.0.0
Protocol ID : 17
User Mask : 0xA10000

Action:
Deny

--------------------------------------------------------------------------------
Rule ID : 2 (auto assign) Ports: 1-24

Match on
Dest IP : 1.1.0.0 Mask : 255.254.0.0
Protocol ID : 17
User Mask : 0xA20000

Action:
Deny

================================================================================

Объясните почему не срабатывает deny ?
Вернуться наверх
 Профиль  
 
simpl3x
СообщениеДобавлено: Вс мар 31, 2013 16:24 
Не в сети

Зарегистрирован: Сб май 24, 2008 20:16
Сообщений: 84
Откуда: Moscow
скажите, а есть какая то информация, на тему сколько будет жить эта ревизия С1 и как быстро на её смену придёт что то нормальное, с привычными=не ограниченные количеством ACL? или стоит начинать поиски для замены уровня доступа?
Вернуться наверх
 Профиль  
 
hsvt
СообщениеДобавлено: Пн апр 01, 2013 09:18 
Не в сети

Зарегистрирован: Вт июл 27, 2010 21:04
Сообщений: 188
С первым вариантом разобрался заработало. Прописал вот так:

create access_profile profile_id 2 profile_name snmp_netbios_off_2 ip destination_ip_mask 255.255.0.0 protocol_id_mask 0xFF user_define_mask 0xFFFFFFFF
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 1.1.0.0 mask 255.254.0.0 protocol_id 17 user_define 0xA1 mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 1.1.0.0 mask 255.254.0.0 protocol_id 17 user_define 0xA2 mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 2.2.0.0 mask 255.255.252.0 protocol_id 17 user_define 0xA1 mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 2.2.0.0 mask 255.255.252.0 protocol_id 17 user_define 0xA2 mask 0xFFFF port 1-24 deny

2 блок правил не срабатывает:

config access_profile profile_id 2 add access_id auto_assign ip destination_ip 10.1.1.0 mask 255.255.255.0 protocol_id 6 user_define 0x1BD port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 10.1.1.0 mask 255.255.255.0 protocol_id 6 user_define 0x8B port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 10.1.1.0 mask 255.255.255.0 protocol_id 17 user_define 0x1BD port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 10.1.1.0 mask 255.255.255.0 protocol_id 17 user_define 0x8B port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0x1BD port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0x8B port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0x87 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0x89 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0x8A port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 6 user_define 0xB35 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x1BD port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x8B port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x87 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x89 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x8A port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 17 user_define 0x76C port 1-24 deny

Т.е. на 2 ip адреса мне нужно разрешить TCP/UDP порты 445,139 с 1-24 порты и весь остальной smb трафик запретить. Ткните что не так ?

Вычитал что "4. Действие drop теперь не приоритетно. Приоритет теперь работает по ID профиля и ID правила, как на старых наших моделях." Может быть в это дело?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 19 ]  На страницу Пред.  1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 31

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB