ACL DGS-3620

All Activity

ACL DGS-3620 непонятная логика

Reply to this topic

tonny_bennet

Posted January 26, 2016

Здравствуйте.

Развернул ядро сети на базе стека из пары DGS-3620-28TC. Всё бы хорошо, но вот не могу понять логику работы ACL, привык к iptables в Linux (ну и MikroTik её переняла).

Есть несколько интерфейсов в разных VLAN. К примеру vlan9 с адресом 10.0.17.129/25 - шлюз для гостевой wi-fi сети. По задумке все устройства в VLAN c ID 9 должны иметь доступ только в интернет к локальному почтовому серверу и DNS серверу. На MT это делается буквально в несколько строк:

2    ;;; acl for Guest-Wi-Fi net
     chain=forward action=accept src-address=10.0.17.128/25 dst-address=!10.0.0.0/8 in-interface=bridge-vlan9-guest-wi-fi 

3    chain=forward action=accept protocol=tcp src-address=10.0.17.128/25 dst-address=10.0.0.5 in-interface=bridge-vlan9-guest-wi-fi port=80,25,465,143,993,53,123,5222 

4    chain=forward action=accept protocol=udp src-address=10.0.17.128/25 dst-address=10.0.0.5 in-interface=bridge-vlan9-guest-wi-fi port=80,25,465,143,993,53,123,5222 

5    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=10.0.17.128/25 in-interface=bridge-vlan9-guest-wi-fi

А как аналогичную схему сделать на D-Link пока понять не могу.

Если есть адекватные мануалы о том как у D-Link работает эта система? Или может кто-то на пальцах сможет рассказать как это всё функционирует? А то там 6 профилей, в которых вроде бы задаётся один фильтр, а внутри ещё 256 правил, в которых фильтра нет но начинают работать действия.

Пожалуйста помогите разобраться.

Share this post

Link to post

Share on other sites

pkozik

Posted February 3, 2016

Профиль задаёт шаблон. Он показывает, какие поля (байты, биты) пакета будет затрагивать правило. В правиле пишутся конкретные значения.

Если я правильно понял задачу, она решается по такой логике:

1. permit ipdst=10.0.17.129 - разрешили доступ до шлюза, например, для использования icmp.

2. deny ipdst=10.0.17.128/25 - запретили всем на всех в этой ip-сети.

Правила для этой схемы будут такие:

create access_profile profile_id 1 profile_name test ip destination_ip_mask 255.255.255.128

config access_profile profile_id 1 add access_id 10 ip destination_ip 10.0.17.129 mask 255.255.255.255 port 1-24 permit counter enable

config access_profile profile_id 1 add access_id 20 ip destination_ip 10.0.17.128 port 1-24 deny

Правила не проверял, могут быть некоторые неточности. Порты 1-24 - откуда поступает клиентский трафик.

Share this post

Link to post

Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Reply to this topic...

× Pasted as rich text. Paste as plain text instead

Only 75 emoji are allowed.

× Your link has been automatically embedded. Display as a link instead

× Your previous content has been restored. Clear editor

× You cannot paste images directly. Upload or insert images from URL.

Insert image from URL

Followers 0

Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...

Sign In

tonny_bennet

Share this post

Link to post

Share on other sites

pkozik

Share this post

Link to post

Share on other sites

Join the conversation