DD-WRT Posted October 23, 2010 Posted October 23, 2010 Есть участок сети в центре которого стоит DES3528 к нему подключены обычные мыльницы, к мыльница подключены клиенты, настроен ACL следующим образом create access_profile ip source_ip_mask 255.255.255.255 profile_id 5 config access_profile profile_id 5 add access_id 1 ip source_ip 192.168.1.1 port 5 permit create access_profile ip source_ip_mask 0.0.0.0 profile_id 6 config access_profile profile_id 6 add access_id 2 ip source_ip 0.0.0.0 port 5 deny create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 10 config access_profile profile_id 10 add access_id 1 ethernet source_mac 00-1F-D0-54-BE-E4 port 5 permit create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 11 config access_profile profile_id 11 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 5 deny будет ли при такой схеме ACL проверяться связка IP +MAC, то есть пропустить пакеты в случае совпадения связки IP+MAC Вставить ник Quote
mschedrin Posted October 23, 2010 Posted October 23, 2010 (edited) Не будет. Фаервол работает до первого срабатывания правила. Здесь либо пролезет пакет с любым маком, если source ip правильный, либо дропнется 6 профилем. Ну а не ip пакеты доберутся до 10 профиля. Надо использовать packet content acl, либо ip mac binding. Edited October 23, 2010 by mschedrin Вставить ник Quote
Mallorn Posted October 25, 2010 Posted October 25, 2010 Мы тоже купили 2 железки des-3528 на пробу, хотели менять\добавлять взамен des-3526. И тут поджидал неожиданный облом от длинка: на 3528 можно создать ТОЛЬКО ОДИН профиль packet_content_filter. А учитывая тот факт, что у этой железки можно сделать не более 128 правил в одном профиле, то число привязок ip-mac становится не более 128 абонентов на одну железку, что прискорбно. Ибо 3526 тянет 500 правил, и даже 3028 несет до 200 правил. И это при том факте, что максимально в des-3528 можно создать до 1790 правил (14 профилей по 128 правил). Так что будьте в курсе. С ip-mac port binding все тоже непросто. Можно создать до 512 правил, все вроде бы ок. По докам длинка ipmb в режиме acl должны учитываться предыдущие правила. Но если ip-mac нет в списке, то все разрешающие acl, стоящие "выше" игнорируются. Т.е. при наличии задолженности абонент не может уже на свой личный кабинет попасть. И вообще уже ничего не может. А это как-то неудобно и вообще неправильно. Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента? Вставить ник Quote
mschedrin Posted October 25, 2010 Posted October 25, 2010 Такая же проблема с количеством acl. Что делать пока не ясно :( Вставить ник Quote
Tosha Posted October 25, 2010 Posted October 25, 2010 Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента? А дедовский способ выделить для отключенных свой набор VLAN, который далее некоторых серверов не пускать? В этом случае если должник - порт переключается в другой VLAN и прощай интернет, здравствуй родная страница с красной надписью "дай денег". Вставить ник Quote
Mallorn Posted October 25, 2010 Posted October 25, 2010 Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента? А дедовский способ выделить для отключенных свой набор VLAN, который далее некоторых серверов не пускать? В этом случае если должник - порт переключается в другой VLAN и прощай интернет, здравствуй родная страница с красной надписью "дай денег". Способ работает, но на одном порту много больше 1 абонента находится. Еще не все ставят L2 свитчи на дом, увы. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.