Зарегистрирован: Чт фев 04, 2010 16:42
Сообщений: 7
Откуда: Ташкент
|
|
Здравствуйте. До этого момента в сети стояли только 3200 старых ревизий и 3028 с ацлами для них всё понятно. Вот конфиг для 3200 A1/B1
#блочим левые dhcp
create access_profile ip udp src_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip udp src_port 67 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip udp src_port 68 port 1-24 permit
create access_profile ip udp dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 permit
#блочим нетбиус итд
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 135 port all deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 137 port all deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 138 port all deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 139 port all deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 445 port all deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 1900 port all deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 2869 port all deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 42 port all deny
create access_profile ip udp dst_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 135 port all deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 137 port all deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 138 port all deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 139 port all deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 445 port all deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 1900 port all deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 2869 port all deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 42 port all deny
#разрешаем только нашу сеть
create access_profile ip source_ip_mask 255.255.254.0 destination_ip_mask 0.0.0.0 profile_id 5
config access_profile profile_id 5 add access_id auto_assign ip source_ip 10.10.0.0 destination_ip 0.0.0.0 port 1-24 permit
create access_profile ip source_ip_mask 255.255.240.0 destination_ip_mask 0.0.0.0 profile_id 6
config access_profile profile_id 6 add access_id auto_assign ip source_ip 172.17.0.0 destination_ip 0.0.0.0 port 1-24 permit
#разрешаем всё в мгм влане
create access_profile ip vlan profile_id 7
config access_profile profile_id 7 add access_id auto_assign ip vlan mgm port 19-26 permit
#блочим все остальные сети
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 8
config access_profile profile_id 8 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny
#блочим чужие пппое сервера
create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 9
config access_profile profile_id 9 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-24 deny
Если забиваю всё как есть то на 4м ацле сталкиваюсь с нехваткой ацлов.... понимаю, что нужно делать через PCF но не могу сформулировать конфиг. Подскажите пожалуйста
|
|
Вход
Регистрация
FAQ
Поиск
