[Ivan_83]

Сходу на ум приходит SMTP

а потом у абонента почта не уходит месяцами, думаете это сильно обрадует?

[snark]

Кто какие порты блокирует в своей сети?

фирма Мракософт русским по белому расписала какие порты она использует и, соответственно, указала на то что нужно закрывать ;)

[Yaten]

а какой порт порезать, чтоб вирус с serv8.exe дропнуть?

[mukca]

фирма Мракософт русским по белому расписала какие порты она использует и, соответственно, указала на то что нужно закрывать ;)

ой какие молодцы...

теперь осталось набрать правил acl на все эти порты :D

некто не состряпает конфиг к des3526 des3028 des3200 и dgs3100 ??

:D

[snark]

теперь осталось набрать правил acl на все эти порты

create access_profile profile_id 1                           ip tcp dst_port_mask 0xffff
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         135 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         139 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         445 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port        2869 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port        3587 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port        5357 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port        5358 port 1-24 deny


create access_profile profile_id 2                           ip udp dst_port_mask 0xffff
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port          67 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port          68 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         137 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         138 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port        1900 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port        3540 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port        3702 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port        5355 port 1-24 deny

[mukca]

snark

360 правил... я хз на какой свитч это влезет. может только на 3200

 

[snark]

для того же 3028 заменить

port 1-24

на

port 1-28

чем уменьшить кол-во правил религия не позволяет?

[ingress]

config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 deny

config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny

вот это можно вообще не использовать

есть filter dhcp_server

 

[snark]

config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 deny

config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny

вот это можно вообще не использовать

есть filter dhcp_server

ЕМНИМС он создает ACL, так же как и netfios фильтр ... Вам это надо? IMHO лучше ручками все прописать в одном месте, чем смотреть что включено и что это включенное создало ...

 

P.S. попросили ACL - я дал и получилось что это плохо, т.к. кому-то обязательно что-то не нравится ...

сейчас кто нибудь придет и напишет о том что если на 3028 запретить dst UDP 67 то отвалится DHCP Relay и т.д. и т.п. ...

господа, может всетаки поймете что это просто пример, а не истина в последней инстанции?

что и как делать каждый решает для себя сам :) хотите использовать filter XYZ - используйте! хотите использовать ACL - используйте!

[mukca]

чем уменьшить кол-во правил религия не позволяет?

да хоть 1-52

 

все равно количество сколько правил столько портов. просто это сокращение записи..

 

snark

 

я имелл ввиду правила PCF ... и ... и... чтобы вмешались на свитчи :D

так перечислить просто порты просто.. тока на свитчи не влазит стока правил.. а то монабы было вообще на все 65535 портов правила писать :D

 

3028 запретить dst UDP 67 то отвалится DHCP Relay и т.д. и т.п. ...

кому надо тот об этом знает

[ingress]

оно создаёт, но не из общих правил, количество аппаратных правил остаётся тем же самым.

причём эти ACL явно софтовые, т.к. трафик отправляется на цпу для анализа, откуда в лог кладётся ип левого dhcp сервера и порт.

 

в моей схеме мне больше аппаратные правила нужны для PCF и IP профилей,а 24 правила которые съедает такая защита это потеряных 12 привязок IP-Port.

 

[AlKov]

оно создаёт, но не из общих правил, количество аппаратных правил остаётся тем же самым.

причём эти ACL явно софтовые, т.к. трафик отправляется на цпу для анализа, откуда в лог кладётся ип левого dhcp сервера и порт.

Гм.. А как же тогда это -

DES-3526:admin#delete access_profile all
Command: delete access_profile all

Success.
DES-3526:admin#config filter dhcp_server ports 1-24 state enable
Command: config filter dhcp_server ports 1-24 state enable

Success.

DES-3526:admin#sh access_profile
Command: show access_profile

Access Profile Table

Access Profile ID : 1                                      Type : Packet Content
================================================================================
Owner    : DHCP_filter
Masks    :

Offset 32-47 : 0x00000000 0000ffff 00000000 00000000

Access ID: 1              Mode: Deny
Owner    : DHCP_filter
Port     : 1
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 2              Mode: Deny
Owner    : DHCP_filter
Port     : 2
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 3              Mode: Deny
Owner    : DHCP_filter
Port     : 3
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 4              Mode: Deny
Owner    : DHCP_filter
Port     : 4
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 5              Mode: Deny
Owner    : DHCP_filter
Port     : 5
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 6              Mode: Deny
Owner    : DHCP_filter
Port     : 6
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 7              Mode: Deny
Owner    : DHCP_filter
Port     : 7
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 8              Mode: Deny
Owner    : DHCP_filter
Port     : 8
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 9              Mode: Deny
Owner    : DHCP_filter
Port     : 9
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 10             Mode: Deny
Owner    : DHCP_filter
Port     : 10
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 11             Mode: Deny
Owner    : DHCP_filter
Port     : 11
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 12             Mode: Deny
Owner    : DHCP_filter
Port     : 12
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 13             Mode: Deny
Owner    : DHCP_filter
Port     : 13
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 14             Mode: Deny
Owner    : DHCP_filter
Port     : 14
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 15             Mode: Deny
Owner    : DHCP_filter
Port     : 15
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 16             Mode: Deny
Owner    : DHCP_filter
Port     : 16
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 17             Mode: Deny
Owner    : DHCP_filter
Port     : 17
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 18             Mode: Deny
Owner    : DHCP_filter
Port     : 18
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 19             Mode: Deny
Owner    : DHCP_filter
Port     : 19
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 20             Mode: Deny
Owner    : DHCP_filter
Port     : 20
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 21             Mode: Deny
Owner    : DHCP_filter
Port     : 21
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 22             Mode: Deny
Owner    : DHCP_filter
Port     : 22
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 23             Mode: Deny
Owner    : DHCP_filter
Port     : 23
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

Access ID: 24             Mode: Deny
Owner    : DHCP_filter
Port     : 24
----------------------------------------------------
Offset 32-47 : 0x00000000 00000043 00000000 00000000

================================================================================

ACL Free: System : 776, Port 1-8  : 192, Port 9-16 : 192, Port 17-24: 192
         Port 25 : 100, Port 26   : 100
Total Access Entries : 24

По 8 правил с каждой группы портов, как с куста! ИМХО, никакой экономии. Да и на форуме дилинка как-то проскакивала инфа от их представителей, что так оно и есть - все config filter.... создают соотв. ACL и сделаны только для облегчения работы админа.

[ingress]

DES-3526

 

[snark]

да хоть 1-52

 

все равно количество сколько правил столько портов. просто это сокращение записи

у 3028 (ЕМНИМС и у 3200 то же) особенность - если в ACL написано

port 1-2

оно занимает 2 правила, а если написано

port 1-28

занимает всего _одно_ - именно поэтому я и говорил про экономию правил

 

 

я имелл ввиду правила PCF

на 3028 кол-во PCF ограничено и поэтому если фильтруете, допустим, внутри РРРоЕ - то Вам PCF правил уже не хватит :(

ЕМНИМС - это максимум что можно впихнуть в 3028

# PPPoE Discovery (0x8863) + Active Discovery Offer (PADO) (0x07)
create access_profile                                        packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff00ff profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content                    offset 12 0x88630007 port 1-24 deny


# PPPoE Session (0x8864) + Protocol IP (0x0021), Version 4 + Destination port
create access_profile                                        packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x0 0x0 offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 2
# 135 (87)
config access_profile profile_id 2 add access_id auto_assign packet_content                    offset 12 0x88640000        offset 20 0x00214000                        offset 44 0x00870000 port 1-28 deny
# 137 (89)
config access_profile profile_id 2 add access_id auto_assign packet_content                    offset 12 0x88640000        offset 20 0x00214000                        offset 44 0x00890000 port 1-28 deny
# 138 (8a)
config access_profile profile_id 2 add access_id auto_assign packet_content                    offset 12 0x88640000        offset 20 0x00214000                        offset 44 0x008a0000 port 1-28 deny
# 139 (8b)
config access_profile profile_id 2 add access_id auto_assign packet_content                    offset 12 0x88640000        offset 20 0x00214000                        offset 44 0x008b0000 port 1-28 deny
# 445 (1bd)
config access_profile profile_id 2 add access_id auto_assign packet_content                    offset 12 0x88640000        offset 20 0x00214000                        offset 44 0x01bd0000 port 1-28 deny


# PPPoE Session (0x8864) + Protocol IP (0x0021), Version 4 + Protocol: TCP (0x06), UDP (0x11) + Destination port
create access_profile                                        packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x00000000 0x000000ff offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 3
# TCP   53 (35)
config access_profile profile_id 3 add access_id auto_assign packet_content                    offset 12 0x88640000        offset 20 0x00214000  offset 28 0x00000006                offset 44 0x00350000 port 1-28 deny
# UDP   67 (43)
config access_profile profile_id 3 add access_id auto_assign packet_content                    offset 12 0x88640000        offset 20 0x00214000  offset 28 0x00000011                offset 44 0x00430000 port 1-28 deny
# UDP 1900 (76c)
config access_profile profile_id 3 add access_id auto_assign packet_content                    offset 12 0x88640000        offset 20 0x00214000  offset 28 0x00000011                offset 44 0x076c0000 port 1-28 deny
# TCP 2869 (b35)
config access_profile profile_id 3 add access_id auto_assign packet_content                    offset 12 0x88640000        offset 20 0x00214000  offset 28 0x00000006                offset 44 0x0b350000 port 1-28 deny


# PPPoE
create access_profile                                        ethernet ethernet_type        profile_id 4
# Discovery (0x8863)
config access_profile profile_id 4 add access_id auto_assign ethernet ethernet_type 0x8863 port 1-28 permit
# Session (0x8864)
config access_profile profile_id 4 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-28 permit


# Protocol: TCP + Destination port
create access_profile                                        ip tcp dst_port_mask 0xffff profile_id 5
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port          53 port 1-28 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port         135 port 1-28 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port         139 port 1-28 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port         445 port 1-28 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port        2869 port 1-28 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port        5000 port 1-28 deny


# Protocol: UDP + Destination port
create access_profile                                        ip udp dst_port_mask 0xffff profile_id 6
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port          67 port 1-24 permit
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port          68 port 1-28 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port         137 port 1-28 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port         138 port 1-28 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port         445 port 1-28 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port        1900 port 1-28 deny


# ARP
create access_profile                               packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0xffff0000 0x0 0x0   0xffffffff profile_id 7
config access_profile profile_id 7 add access_id  1 packet_content                    offset 12 0x08060000    offset 16 0x08000000 offset 28 0xHEX.IP.addr port 1 permit


# бродкасты
create access_profile                                        ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 8
config access_profile profile_id 8 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny


# IP
create access_profile                              ip source_ip_mask 255.255.255.255 profile_id 9
config access_profile profile_id 9 add access_id 1 ip source_ip    www.xxx.yyy.zzz port 1 permit


# deny all
create access_profile                                         ethernet source_mac 00-00-00-00-00-00 profile_id 10
config access_profile profile_id 10 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

 

 

и... чтобы вмешались на свитчи :D

про кол-во правил - смотри выше ;)

 

 

все config filter.... создают соотв. ACL и сделаны только для облегчения работы админа

именно так! в свое время, когда нетбиос фильтр только появился, я помнится общался с саппортом на предмет странности того какие ACL он генерит, мы проверяли, рисовали ACL-и и в общем итоге все наши изыскания ушли в Китай где фильтр таки поправили чтобы он ерунду не создавал ...

[Mallorn]

Начали с портов, закончили D-Link'ом :)

 

Для тех, кто не в курсе об особенностях ACL в разных железках этого производителя:

 

DES-3526:

1 порт = 1 правило

10 портов = 10 правил

 

DES-3028:

1 порт = 1 правило

10 портов = 10 правил

все порты (1-28) = 1 правило

 

DES-3528, DES-3200:

1 порт = 1 правило

10 портов = 1 правило

все порты = 1 правило

 

Как-то так.

[snark]

ну так и я об этом чуть выше писал

[X-RaY™]

А на edge-core es3528M и alu LS6224 кто нибудь поделится конфигом acl?

Изменено 9 марта, 2011 пользователем X-RaY™

[Cramac]

на едже, что то типо (взято из конфига)

 

access-list ip extended netbios

deny udp any any source-port 135 139

deny udp any any source-port 445 445

deny tcp any any source-port 135 139

deny tcp any any source-port 445 445

[mukca]

поднимим старую тему

DES-3526:

1 порт = 1 правило

10 портов = 10 правил

 

DES-3028:

1 порт = 1 правило

10 портов = 10 правил

все порты (1-28) = 1 правило

 

DES-3528, DES-3200:

1 порт = 1 правило

10 портов = 1 правило

все порты = 1 правило

 

Как-то так.

а на DGS-3100 и des-3552 ???

[Mallorn]

поднимим старую тему

DES-3526:

1 порт = 1 правило

10 портов = 10 правил

 

DES-3028:

1 порт = 1 правило

10 портов = 10 правил

все порты (1-28) = 1 правило

 

DES-3528, DES-3200:

1 порт = 1 правило

10 портов = 1 правило

все порты = 1 правило

 

Как-то так.

а на DGS-3100 и des-3552 ???

с DGS-3100 не работал.

На des-3552 по логике должно быть все также, как на des-3528.

Но зная "особенности" железа, лучше лишний раз с продавцом или менеджером длинка проконсультироваться.

Изменено 22 июля, 2011 пользователем Mallorn

[abidabi]

а как посмотреть какое количество пакетов было отброшено правилами ACL

[biox]

а как посмотреть какое количество пакетов было отброшено правилами ACL

На D-Link`e никак

[arseniiv]

Имхо рубить весь нетбиос на бордере. А то к вашим клиентам прийдут "клиенты сети microsoft"

[abidabi]

Просмотр сообщенияabidabi (Сегодня, 11:40) писал:

а как посмотреть какое количество пакетов было отброшено правилами ACL

 

На D-Link`e никак

 

жаль...

 

имееться комутатор dgs-3100 порубил на нем нет биос, udp80 и udp dst-addr 255.255.255.255

подскажите какой командой в консоле можно вывести полный списол выставленых acl хочу его выложить сюда на суд присяжных. не знаю все ли я сделал правильно!?

[pppoetest]

sh acce