NX_BIT Опубликовано 13 января, 2011 (изменено) · Жалоба Всем доброго времени суток. Есть следующая задача:"Убить" всю локаль,оставить только пинг,дхцп,пппое,и порты управления свичами(16(перенёс с 80) и 23). Это всё делается на DES-3526.Fir 6.0.48 После применения последнего правила всё отваливается. Наклепал следующие ACL create access_profile ethernet ethernet_type profile_id 1 config access_profile profile_id 1 add access_id 20 ethernet ethernet_type 0x806 port 20 permit create access_profile ethernet ethernet_type profile_id 2 config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 20 permit config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 20 permit create access_profile ip udp dst_port_mask 0xFFFF profile_id 3 config access_profile profile_id 3 add access_id 1 ip udp dst_port 67 port 20 permit config access_profile profile_id 3 add access_id 2 ip udp dst_port 68 port 20 permit create access_profile ip icmp type profile_id 4 config access_profile profile_id 4 add access_id 1 ip icmp type 0 port 20 permit config access_profile profile_id 4 add access_id 2 ip icmp type 8 port 20 permit create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5 config access_profile profile_id 5 add access_id 1 ip tcp dst_port 4090 port 20 permit config access_profile profile_id 5 add access_id 2 ip tcp dst_port 4899 port 20 permit config access_profile profile_id 5 add access_id 3 ip tcp dst_port 8000 port 20 permit config access_profile profile_id 5 add access_id 4 ip tcp dst_port 8001 port 20 permit config access_profile profile_id 5 add access_id 5 ip tcp dst_port 16 port 20 permit config access_profile profile_id 5 add access_id 6 ip tcp dst_port 23 port 20 permit create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 6 config access_profile profile_id 6 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 20 deny У кого какие идеи есть по этому поводу? Изменено 13 января, 2011 пользователем NX_BIT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 14 января, 2011 · Жалоба Возможно ли что коммутатор начинает обрабатывать таблицу АЦЛ с низу в вверх? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 14 января, 2011 · Жалоба 1-й профиль: вы разрешаете ARP, правильнее было бы разрешить ARP broadcast, а не просто ARP 2-й профиль: до этого профиля убейте PADO пакеты, на форуме длинка есть уже готовые правила 3-й профиль поправьте, там вы клиенту разрешаете быть и DHCP клиентом, и DHCP сервером Всё отваливается, это даже PPPoE не фурычит? правила 100% обрабатываются по порядку, возможно, что некоторые не срабатывают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 15 января, 2011 (изменено) · Жалоба 1-й профиль: вы разрешаете ARP, правильнее было бы разрешить ARP broadcast, а не просто ARP2-й профиль: до этого профиля убейте PADO пакеты, на форуме длинка есть уже готовые правила 3-й профиль поправьте, там вы клиенту разрешаете быть и DHCP клиентом, и DHCP сервером Всё отваливается, это даже PPPoE не фурычит? правила 100% обрабатываются по порядку, возможно, что некоторые не срабатывают. create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 1 config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 20 permit create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 2 config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-19,21-26 deny create access_profile ethernet ethernet_type profile_id 3 config access_profile profile_id 3 add access_id 1 ethernet ethernet_type 0x8863 port 20 permit config access_profile profile_id 3 add access_id 2 ethernet ethernet_type 0x8864 port 20 permit create access_profile ip udp dst_port_mask 0xFFFF profile_id 4 config access_profile profile_id 4 add access_id 1 ip udp dst_port 68 port 20 permit create access_profile ip icmp type profile_id 5 config access_profile profile_id 5 add access_id 1 ip icmp type 0 port 20 permit config access_profile profile_id 5 add access_id 2 ip icmp type 8 port 20 permit create access_profile ip tcp dst_port_mask 0xFFFF profile_id 6 config access_profile profile_id 6 add access_id 1 ip tcp dst_port 4090 port 20 permit config access_profile profile_id 6 add access_id 2 ip tcp dst_port 4899 port 20 permit config access_profile profile_id 6 add access_id 3 ip tcp dst_port 8000 port 20 permit config access_profile profile_id 6 add access_id 4 ip tcp dst_port 8001 port 20 permit config access_profile profile_id 6 add access_id 5 ip tcp dst_port 16 port 20 permit config access_profile profile_id 6 add access_id 6 ip tcp dst_port 23 port 20 permit create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 7 config access_profile profile_id 7 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 20 deny Да даже PPPoE не конектится. Вот так правило должно выглядить? Изменено 15 января, 2011 пользователем NX_BIT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 18 января, 2011 · Жалоба Буду обновлять FW на B6.51. Посмотрим что из этого выйдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 18 января, 2011 · Жалоба ничего не выйдет, т.к. суть от этого не поменяется. Попробуйте сделать 2 разных конфига: 1) для IP - разрешить только арп, DHCP и ICMP 2) для eth - убить PADO, разрешить PPPoE как только оба будут готовы - можно объединить в один. или мы не ищем лёгких путей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NX_BIT Опубликовано 28 января, 2011 · Жалоба Ребят помогите разобраться. Не могу понять что не так? create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 1 config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 20 permit create access_profile ethernet ethernet_type profile_id 2 config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 20 permit config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 20 permit create access_profile ip icmp type profile_id 3 config access_profile profile_id 3 add access_id 1 ip icmp type 0 code 0 port 20 permit config access_profile profile_id 3 add access_id 2 ip icmp type 8 code 0 port 20 permit create access_profile ip udp dst_port_mask 0xFFFF profile_id 4 config access_profile profile_id 4 add access_id 1 ip udp dst_port 68 port 20 permit create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5 config access_profile profile_id 5 add access_id 1 ip tcp dst_port 8000 port 20 permit config access_profile profile_id 5 add access_id 2 ip tcp dst_port 8001 port 20 permit config access_profile profile_id 5 add access_id 3 ip tcp dst_port 16 port 20 permit config access_profile profile_id 5 add access_id 4 ip tcp dst_port 23 port 20 permit config access_profile profile_id 5 add access_id 5 ip tcp dst_port 4090 port 20 permit config access_profile profile_id 5 add access_id 6 ip tcp dst_port 4899 port 20 permit create access_profile ip udp dst_port_mask 0xFFFF profile_id 6 config access_profile profile_id 6 add access_id 1 ip udp dst_port 8000 port 20 permit config access_profile profile_id 6 add access_id 2 ip udp dst_port 8001 port 20 permit config access_profile profile_id 6 add access_id 3 ip udp dst_port 16 port 20 permit config access_profile profile_id 6 add access_id 4 ip udp dst_port 23 port 20 permit config access_profile profile_id 6 add access_id 5 ip udp dst_port 4090 port 20 permit config access_profile profile_id 6 add access_id 6 ip udp dst_port 4899 port 20 permit create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 7 config access_profile profile_id 7 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 20 deny После применения ТСП и УДП порты не пробрасываются и пинг до некоторых устойств отваливается(каждый раз до разных) Заранее Благодарен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...