DD-WRT Posted October 23, 2010 · Report post Есть участок сети в центре которого стоит DES3528 к нему подключены обычные мыльницы, к мыльница подключены клиенты, настроен ACL следующим образом create access_profile ip source_ip_mask 255.255.255.255 profile_id 5 config access_profile profile_id 5 add access_id 1 ip source_ip 192.168.1.1 port 5 permit create access_profile ip source_ip_mask 0.0.0.0 profile_id 6 config access_profile profile_id 6 add access_id 2 ip source_ip 0.0.0.0 port 5 deny create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 10 config access_profile profile_id 10 add access_id 1 ethernet source_mac 00-1F-D0-54-BE-E4 port 5 permit create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 11 config access_profile profile_id 11 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 5 deny будет ли при такой схеме ACL проверяться связка IP +MAC, то есть пропустить пакеты в случае совпадения связки IP+MAC Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mschedrin Posted October 23, 2010 (edited) · Report post Не будет. Фаервол работает до первого срабатывания правила. Здесь либо пролезет пакет с любым маком, если source ip правильный, либо дропнется 6 профилем. Ну а не ip пакеты доберутся до 10 профиля. Надо использовать packet content acl, либо ip mac binding. Edited October 23, 2010 by mschedrin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mallorn Posted October 25, 2010 · Report post Мы тоже купили 2 железки des-3528 на пробу, хотели менять\добавлять взамен des-3526. И тут поджидал неожиданный облом от длинка: на 3528 можно создать ТОЛЬКО ОДИН профиль packet_content_filter. А учитывая тот факт, что у этой железки можно сделать не более 128 правил в одном профиле, то число привязок ip-mac становится не более 128 абонентов на одну железку, что прискорбно. Ибо 3526 тянет 500 правил, и даже 3028 несет до 200 правил. И это при том факте, что максимально в des-3528 можно создать до 1790 правил (14 профилей по 128 правил). Так что будьте в курсе. С ip-mac port binding все тоже непросто. Можно создать до 512 правил, все вроде бы ок. По докам длинка ipmb в режиме acl должны учитываться предыдущие правила. Но если ip-mac нет в списке, то все разрешающие acl, стоящие "выше" игнорируются. Т.е. при наличии задолженности абонент не может уже на свой личный кабинет попасть. И вообще уже ничего не может. А это как-то неудобно и вообще неправильно. Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mschedrin Posted October 25, 2010 · Report post Такая же проблема с количеством acl. Что делать пока не ясно :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tosha Posted October 25, 2010 · Report post Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента? А дедовский способ выделить для отключенных свой набор VLAN, который далее некоторых серверов не пускать? В этом случае если должник - порт переключается в другой VLAN и прощай интернет, здравствуй родная страница с красной надписью "дай денег". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mallorn Posted October 25, 2010 · Report post Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента? А дедовский способ выделить для отключенных свой набор VLAN, который далее некоторых серверов не пускать? В этом случае если должник - порт переключается в другой VLAN и прощай интернет, здравствуй родная страница с красной надписью "дай денег". Способ работает, но на одном порту много больше 1 абонента находится. Еще не все ставят L2 свитчи на дом, увы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...