Jump to content
Калькуляторы

Помощь с ACL Немогу понять почему отваливается.

Всем доброго времени суток.

Есть следующая задача:"Убить" всю локаль,оставить только пинг,дхцп,пппое,и порты управления свичами(16(перенёс с 80) и 23).

Это всё делается на DES-3526.Fir 6.0.48

После применения последнего правила всё отваливается.

Наклепал следующие ACL

 

create access_profile ethernet ethernet_type profile_id 1

config access_profile profile_id 1 add access_id 20 ethernet ethernet_type 0x806 port 20 permit

 

create access_profile ethernet ethernet_type profile_id 2

config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 20 permit

config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 20 permit

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 3

config access_profile profile_id 3 add access_id 1 ip udp dst_port 67 port 20 permit

config access_profile profile_id 3 add access_id 2 ip udp dst_port 68 port 20 permit

 

 

create access_profile ip icmp type profile_id 4

config access_profile profile_id 4 add access_id 1 ip icmp type 0 port 20 permit

config access_profile profile_id 4 add access_id 2 ip icmp type 8 port 20 permit

 

 

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5

config access_profile profile_id 5 add access_id 1 ip tcp dst_port 4090 port 20 permit

config access_profile profile_id 5 add access_id 2 ip tcp dst_port 4899 port 20 permit

config access_profile profile_id 5 add access_id 3 ip tcp dst_port 8000 port 20 permit

config access_profile profile_id 5 add access_id 4 ip tcp dst_port 8001 port 20 permit

config access_profile profile_id 5 add access_id 5 ip tcp dst_port 16 port 20 permit

config access_profile profile_id 5 add access_id 6 ip tcp dst_port 23 port 20 permit

 

 

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 6

config access_profile profile_id 6 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 20 deny

 

У кого какие идеи есть по этому поводу?

Edited by NX_BIT

Share this post


Link to post
Share on other sites

Возможно ли что коммутатор начинает обрабатывать таблицу АЦЛ с низу в вверх?

Share this post


Link to post
Share on other sites

1-й профиль: вы разрешаете ARP, правильнее было бы разрешить ARP broadcast, а не просто ARP

2-й профиль: до этого профиля убейте PADO пакеты, на форуме длинка есть уже готовые правила

3-й профиль поправьте, там вы клиенту разрешаете быть и DHCP клиентом, и DHCP сервером

 

Всё отваливается, это даже PPPoE не фурычит?

 

правила 100% обрабатываются по порядку, возможно, что некоторые не срабатывают.

 

Share this post


Link to post
Share on other sites
1-й профиль: вы разрешаете ARP, правильнее было бы разрешить ARP broadcast, а не просто ARP

2-й профиль: до этого профиля убейте PADO пакеты, на форуме длинка есть уже готовые правила

3-й профиль поправьте, там вы клиенту разрешаете быть и DHCP клиентом, и DHCP сервером

 

Всё отваливается, это даже PPPoE не фурычит?

 

правила 100% обрабатываются по порядку, возможно, что некоторые не срабатывают.

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 1

 

config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 20 permit

 

create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 2

config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-19,21-26 deny

 

create access_profile ethernet ethernet_type profile_id 3

config access_profile profile_id 3 add access_id 1 ethernet ethernet_type 0x8863 port 20 permit

config access_profile profile_id 3 add access_id 2 ethernet ethernet_type 0x8864 port 20 permit

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 4

config access_profile profile_id 4 add access_id 1 ip udp dst_port 68 port 20 permit

 

 

create access_profile ip icmp type profile_id 5

config access_profile profile_id 5 add access_id 1 ip icmp type 0 port 20 permit

config access_profile profile_id 5 add access_id 2 ip icmp type 8 port 20 permit

 

 

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 6

config access_profile profile_id 6 add access_id 1 ip tcp dst_port 4090 port 20 permit

config access_profile profile_id 6 add access_id 2 ip tcp dst_port 4899 port 20 permit

config access_profile profile_id 6 add access_id 3 ip tcp dst_port 8000 port 20 permit

config access_profile profile_id 6 add access_id 4 ip tcp dst_port 8001 port 20 permit

config access_profile profile_id 6 add access_id 5 ip tcp dst_port 16 port 20 permit

config access_profile profile_id 6 add access_id 6 ip tcp dst_port 23 port 20 permit

 

 

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 7

config access_profile profile_id 7 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 20 deny

 

Да даже PPPoE не конектится.

Вот так правило должно выглядить?

Edited by NX_BIT

Share this post


Link to post
Share on other sites

Буду обновлять FW на B6.51.

Посмотрим что из этого выйдет.

Share this post


Link to post
Share on other sites

ничего не выйдет, т.к. суть от этого не поменяется.

 

Попробуйте сделать 2 разных конфига:

1) для IP - разрешить только арп, DHCP и ICMP

2) для eth - убить PADO, разрешить PPPoE

 

как только оба будут готовы - можно объединить в один.

 

или мы не ищем лёгких путей?

Share this post


Link to post
Share on other sites

Ребят помогите разобраться.

Не могу понять что не так?

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 1

 

config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 20 permit

 

create access_profile ethernet ethernet_type profile_id 2

config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 20 permit

config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 20 permit

 

create access_profile ip icmp type profile_id 3

config access_profile profile_id 3 add access_id 1 ip icmp type 0 code 0 port 20 permit

config access_profile profile_id 3 add access_id 2 ip icmp type 8 code 0 port 20 permit

 

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 4

config access_profile profile_id 4 add access_id 1 ip udp dst_port 68 port 20 permit

 

 

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5

config access_profile profile_id 5 add access_id 1 ip tcp dst_port 8000 port 20 permit

config access_profile profile_id 5 add access_id 2 ip tcp dst_port 8001 port 20 permit

config access_profile profile_id 5 add access_id 3 ip tcp dst_port 16 port 20 permit

config access_profile profile_id 5 add access_id 4 ip tcp dst_port 23 port 20 permit

config access_profile profile_id 5 add access_id 5 ip tcp dst_port 4090 port 20 permit

config access_profile profile_id 5 add access_id 6 ip tcp dst_port 4899 port 20 permit

 

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 6

config access_profile profile_id 6 add access_id 1 ip udp dst_port 8000 port 20 permit

config access_profile profile_id 6 add access_id 2 ip udp dst_port 8001 port 20 permit

config access_profile profile_id 6 add access_id 3 ip udp dst_port 16 port 20 permit

config access_profile profile_id 6 add access_id 4 ip udp dst_port 23 port 20 permit

config access_profile profile_id 6 add access_id 5 ip udp dst_port 4090 port 20 permit

config access_profile profile_id 6 add access_id 6 ip udp dst_port 4899 port 20 permit

 

 

 

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 7

config access_profile profile_id 7 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 20 deny

 

 

 

 

После применения ТСП и УДП порты не пробрасываются и пинг до некоторых устойств отваливается(каждый раз до разных)

Заранее Благодарен

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this