Перейти к содержимому
Калькуляторы

Помощь с ACL Немогу понять почему отваливается.

Всем доброго времени суток.

Есть следующая задача:"Убить" всю локаль,оставить только пинг,дхцп,пппое,и порты управления свичами(16(перенёс с 80) и 23).

Это всё делается на DES-3526.Fir 6.0.48

После применения последнего правила всё отваливается.

Наклепал следующие ACL

 

create access_profile ethernet ethernet_type profile_id 1

config access_profile profile_id 1 add access_id 20 ethernet ethernet_type 0x806 port 20 permit

 

create access_profile ethernet ethernet_type profile_id 2

config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 20 permit

config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 20 permit

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 3

config access_profile profile_id 3 add access_id 1 ip udp dst_port 67 port 20 permit

config access_profile profile_id 3 add access_id 2 ip udp dst_port 68 port 20 permit

 

 

create access_profile ip icmp type profile_id 4

config access_profile profile_id 4 add access_id 1 ip icmp type 0 port 20 permit

config access_profile profile_id 4 add access_id 2 ip icmp type 8 port 20 permit

 

 

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5

config access_profile profile_id 5 add access_id 1 ip tcp dst_port 4090 port 20 permit

config access_profile profile_id 5 add access_id 2 ip tcp dst_port 4899 port 20 permit

config access_profile profile_id 5 add access_id 3 ip tcp dst_port 8000 port 20 permit

config access_profile profile_id 5 add access_id 4 ip tcp dst_port 8001 port 20 permit

config access_profile profile_id 5 add access_id 5 ip tcp dst_port 16 port 20 permit

config access_profile profile_id 5 add access_id 6 ip tcp dst_port 23 port 20 permit

 

 

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 6

config access_profile profile_id 6 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 20 deny

 

У кого какие идеи есть по этому поводу?

Изменено пользователем NX_BIT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возможно ли что коммутатор начинает обрабатывать таблицу АЦЛ с низу в вверх?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1-й профиль: вы разрешаете ARP, правильнее было бы разрешить ARP broadcast, а не просто ARP

2-й профиль: до этого профиля убейте PADO пакеты, на форуме длинка есть уже готовые правила

3-й профиль поправьте, там вы клиенту разрешаете быть и DHCP клиентом, и DHCP сервером

 

Всё отваливается, это даже PPPoE не фурычит?

 

правила 100% обрабатываются по порядку, возможно, что некоторые не срабатывают.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1-й профиль: вы разрешаете ARP, правильнее было бы разрешить ARP broadcast, а не просто ARP

2-й профиль: до этого профиля убейте PADO пакеты, на форуме длинка есть уже готовые правила

3-й профиль поправьте, там вы клиенту разрешаете быть и DHCP клиентом, и DHCP сервером

 

Всё отваливается, это даже PPPoE не фурычит?

 

правила 100% обрабатываются по порядку, возможно, что некоторые не срабатывают.

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 1

 

config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 20 permit

 

create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 2

config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-19,21-26 deny

 

create access_profile ethernet ethernet_type profile_id 3

config access_profile profile_id 3 add access_id 1 ethernet ethernet_type 0x8863 port 20 permit

config access_profile profile_id 3 add access_id 2 ethernet ethernet_type 0x8864 port 20 permit

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 4

config access_profile profile_id 4 add access_id 1 ip udp dst_port 68 port 20 permit

 

 

create access_profile ip icmp type profile_id 5

config access_profile profile_id 5 add access_id 1 ip icmp type 0 port 20 permit

config access_profile profile_id 5 add access_id 2 ip icmp type 8 port 20 permit

 

 

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 6

config access_profile profile_id 6 add access_id 1 ip tcp dst_port 4090 port 20 permit

config access_profile profile_id 6 add access_id 2 ip tcp dst_port 4899 port 20 permit

config access_profile profile_id 6 add access_id 3 ip tcp dst_port 8000 port 20 permit

config access_profile profile_id 6 add access_id 4 ip tcp dst_port 8001 port 20 permit

config access_profile profile_id 6 add access_id 5 ip tcp dst_port 16 port 20 permit

config access_profile profile_id 6 add access_id 6 ip tcp dst_port 23 port 20 permit

 

 

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 7

config access_profile profile_id 7 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 20 deny

 

Да даже PPPoE не конектится.

Вот так правило должно выглядить?

Изменено пользователем NX_BIT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Буду обновлять FW на B6.51.

Посмотрим что из этого выйдет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ничего не выйдет, т.к. суть от этого не поменяется.

 

Попробуйте сделать 2 разных конфига:

1) для IP - разрешить только арп, DHCP и ICMP

2) для eth - убить PADO, разрешить PPPoE

 

как только оба будут готовы - можно объединить в один.

 

или мы не ищем лёгких путей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ребят помогите разобраться.

Не могу понять что не так?

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 1

 

config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 20 permit

 

create access_profile ethernet ethernet_type profile_id 2

config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 20 permit

config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 20 permit

 

create access_profile ip icmp type profile_id 3

config access_profile profile_id 3 add access_id 1 ip icmp type 0 code 0 port 20 permit

config access_profile profile_id 3 add access_id 2 ip icmp type 8 code 0 port 20 permit

 

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 4

config access_profile profile_id 4 add access_id 1 ip udp dst_port 68 port 20 permit

 

 

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5

config access_profile profile_id 5 add access_id 1 ip tcp dst_port 8000 port 20 permit

config access_profile profile_id 5 add access_id 2 ip tcp dst_port 8001 port 20 permit

config access_profile profile_id 5 add access_id 3 ip tcp dst_port 16 port 20 permit

config access_profile profile_id 5 add access_id 4 ip tcp dst_port 23 port 20 permit

config access_profile profile_id 5 add access_id 5 ip tcp dst_port 4090 port 20 permit

config access_profile profile_id 5 add access_id 6 ip tcp dst_port 4899 port 20 permit

 

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 6

config access_profile profile_id 6 add access_id 1 ip udp dst_port 8000 port 20 permit

config access_profile profile_id 6 add access_id 2 ip udp dst_port 8001 port 20 permit

config access_profile profile_id 6 add access_id 3 ip udp dst_port 16 port 20 permit

config access_profile profile_id 6 add access_id 4 ip udp dst_port 23 port 20 permit

config access_profile profile_id 6 add access_id 5 ip udp dst_port 4090 port 20 permit

config access_profile profile_id 6 add access_id 6 ip udp dst_port 4899 port 20 permit

 

 

 

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 7

config access_profile profile_id 7 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 20 deny

 

 

 

 

После применения ТСП и УДП порты не пробрасываются и пинг до некоторых устойств отваливается(каждый раз до разных)

Заранее Благодарен

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.