вот понадобилось зарезать 110 порт.. рисую профиль, говорю протокол ТСП, маска назначения 0xfffF .Потом правило в профиле порт 110 А что-то незамечаю чтоб оно отработало, где ошибся ? Если просто ТСП закрыть - отлично закрывает. Про маску назначения не совсем понял

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 193 deny
config access_profile profile_id 193 add access_id 1 ip tcp dst_port 110
Работает.
Возможно маску 0xffff указали неверно? Надо заглавными. С консоли в этом смысле проще.

Маска - шаблон, в рамках которого пишутся индивидуальные правила.
В первый раз несколько запутано, но в целом несложно разобратся.

Вот еще пример, чтобы маску понять:
create access_profile ip source_ip_mask 255.255.255.0 profile_id 157 deny
config access_profile profile_id 157 add access_id 200 ip source_ip 192.168.0.0

Запрещает пропускать пакеты из указанной сети класса С.

Не, верно все. Нарыл другое объяснение. Эта схема работает на тех портах ( вланах ) на которых нет IP. Проверялось просто. Стоит свич ( рабочий ) на нем есть несколько влан, присвоены IP. За свичем стоит комп с юнихом, на который нужно закрыть 110 порт. Проверяю телнет " адрес " 110 - видим приглашение. Прописываю правило, проверяю - вижу приглашение. Убираю IP с портов свича, адреса меняю чтоб я с тем компом оказался в одной сети. Все нормально, порт 110 закрыт. Непонятно. Проверяю по другому, есть еще один свитчик, воткнут в кусочек городской сети, блокирую 135 порт. Хрен. Как бегало так и бегает. Если не указывать порты - блокировка всего tcp отлично работает. блокировка по IP адресам - тоже без проблем

так, нафиг, машина сдоха. Вопрос про 100 порт отпал сам собой, а вот 135 ? на маршрутизаторе юниховом - deny port 135 any any - проблема решилась. На свиче - нет.

У Вас прошивка какая?
У меня все, что настраиваю, на 3326s фильтруется...
Вот относящиеся к теме строки:

# VLAN
config vlan default add tagged 25-26
config vlan default add untagged 1-16
create vlan vlan2 tag 2
config vlan vlan2 add tagged 25-26
config vlan vlan2 add untagged 17-20
create vlan vlan3 tag 3
config vlan vlan3 add untagged 21-24

# ACL

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 10 deny
config access_profile profile_id 10 add access_id 1 ip tcp dst_port 135

# IP

config ipif System vlan default ipaddress 192.168.0.10/24 state enabled
create ipif Vlan2 192.168.2.1/24 vlan2 state enabled
create ipif Vlan3 192.168.3.1/24 vlan3 state enabled

Я в 1 влан, есть другие устройства и в 1, и во 2, и в 3 влан. Но не зависимо от расположения при задании этого правила фильтрации 135 порт блокируется. Тоже самое и с любым другим портом.
Может быть что-то не учитываете?
Например есть правило, выполняющееся раньше, по которому все эти пакеты и пропускаются?
Дайте конфигурацию и схему с адресами.

Firmware: Build 3.00-B24

# ACL

create access_profile ip vlan tcp dst_port_mask 0xFFFF profile_id 10 deny
config access_profile profile_id 10 add access_id 1 ip tcp dst_port 135


# IP

config ipif System vlan real_ip ipaddress 192.168.0.20/27 state disabled
create ipif to_owl 192.168.0.197/27 owl_aes state enabled
create ipif to_10a_ic 192.168.12.250/22 to_10ab_f16 state enabled

# VLAN

config vlan default delete 1-26
config vlan default add untagged 23-26
config vlan default advertisement enabled
create vlan owl_aes tag 3
config vlan owl_aes add untagged 13-16,20
config vlan owl_aes advertisement enabled
create vlan to_10ab_f16 tag 5
config vlan to_10ab_f16 add untagged 18-19
config vlan to_10ab_f16 advertisement enabled


..типа того ?
Выглядит это все так. Есть Юних, подключенный во влан owl_aes. В другие вланы ( привел только to_10... ) подключены клиенты.
Вот лог с юниха
10.26.22.70..1756 1.26.182.17..135 tcp 48
10.26.22.70..1757 1.26.182.18..135 tcp 48
10.26.22.70..1758 1.26.182.19..135 tcp 48

Мораль - проходит.

В профиле вы задаете поле vlan, но в правиле нет упоминания о vlan.

Ввел в коммутатор ваши строки, сравните с моими:

create access_profile ip vlan tcp dst_port_mask 0xFFFF profile_id 100 deny
config access_profile profile_id 100 add access_id 1 ip vlan default tcp dst_port 135

DES-3326S:4#show acce
Command: show access_profile

Access Profile Table

Access Profile ID:10 Mode : Deny
TYPE : IP
=================================
MASK Option VLAN TCP Dst.P
0xFFFF
----------- ------------ --------------
Access ID

----------- ------------ --------------
1 (249) 0 135
=================================

Access Profile ID:100 Mode : Deny
TYPE : IP
=================================
MASK Option VLAN TCP Dst.P
0xFFFF
----------- ------------ --------------
Access ID

----------- ------------ --------------
1 (250) default 135
Access ID

----------- ------------ --------------
2 (251) default 23
=================================
Обратите внимание - с вашими строками "0" вместо названия vlan
Естественно коммутатор для этой сети и не обрабатывает пакеты.

Не то вставил, сорри. В профиле такого нет.

DES-3326S:4#show access_profile
Command: show access_profile

Access Profile Table

Access Profile ID:10 Mode : Deny
TYPE : IP
===============================================
MASK Option TCP Dst.P
0xFFFF
----------- --------------
Access ID

----------- --------------
1 (251) 135
===============================================

Total Entries: 1

DES-3326S:4#

Хорошо, одну багу пропустили.

Остальные данные те вставлены?
Меня смущают разные ip сети на коммутаторе и клиентах :/
Куда у вас юних шлет пакеты? По идее шлюз для него должен быть
192.168.0.197? Почему тогда он шлет пакеты с 10.26.22.70

Нарисуйте схему полигона, с указанием адресов всех участвующих станций. Так-же конфигурацию правильную и полную мне на ящик можете кинуть.

Это на него шлют. Нет в логе именно нужных записей. Вот кусочек того, откуда именно щас сыпется 135 порт

create vlan to_7 tag 7
config vlan to_7 add untagged 21
config vlan to_7 advertisement enabled

create ipif to_7_dune 10.26.19.254/24 to_7 state enabled
create ipif to_7_dune_1 10.26.22.254/24 to_7 state enabled secondary

То-есть с машины, например 10.26.22.70, ломится куда-то в ИНЕТ. Что и видно на логе этой юниховой машины, которая подключена после свича.

..самое интересное то, что ежели я говорю что закрыть 25 порт, то почта не отправляется, то-есть правило работает.

Ну вот... А как-же мне удаленно помочь, если на 25 работает, а на 135 не работает? Давайте полную конфигурацию, буду такой-же стенд собирать.

Ок, сделаю.

хе-хе, улетело мылом, не так все просто.