Ivan_83 Опубликовано 27 февраля, 2011 · Жалоба Сходу на ум приходит SMTP а потом у абонента почта не уходит месяцами, думаете это сильно обрадует? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 7 марта, 2011 · Жалоба Кто какие порты блокирует в своей сети? фирма Мракософт русским по белому расписала какие порты она использует и, соответственно, указала на то что нужно закрывать ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 7 марта, 2011 · Жалоба а какой порт порезать, чтоб вирус с serv8.exe дропнуть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 7 марта, 2011 · Жалоба фирма Мракософт русским по белому расписала какие порты она использует и, соответственно, указала на то что нужно закрывать ;)ой какие молодцы...теперь осталось набрать правил acl на все эти порты :D некто не состряпает конфиг к des3526 des3028 des3200 и dgs3100 ?? :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 8 марта, 2011 · Жалоба теперь осталось набрать правил acl на все эти порты create access_profile profile_id 1 ip tcp dst_port_mask 0xffff config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 135 port 1-24 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 445 port 1-24 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 2869 port 1-24 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 3587 port 1-24 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 5357 port 1-24 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 5358 port 1-24 deny create access_profile profile_id 2 ip udp dst_port_mask 0xffff config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 port 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 port 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 1900 port 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 3540 port 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 3702 port 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 5355 port 1-24 deny Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 8 марта, 2011 · Жалоба snark 360 правил... я хз на какой свитч это влезет. может только на 3200 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 8 марта, 2011 · Жалоба для того же 3028 заменить port 1-24 на port 1-28 чем уменьшить кол-во правил религия не позволяет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 8 марта, 2011 · Жалоба config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 denyconfig access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny вот это можно вообще не использовать есть filter dhcp_server Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 8 марта, 2011 · Жалоба config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny вот это можно вообще не использоватьесть filter dhcp_server ЕМНИМС он создает ACL, так же как и netfios фильтр ... Вам это надо? IMHO лучше ручками все прописать в одном месте, чем смотреть что включено и что это включенное создало ... P.S. попросили ACL - я дал и получилось что это плохо, т.к. кому-то обязательно что-то не нравится ... сейчас кто нибудь придет и напишет о том что если на 3028 запретить dst UDP 67 то отвалится DHCP Relay и т.д. и т.п. ... господа, может всетаки поймете что это просто пример, а не истина в последней инстанции? что и как делать каждый решает для себя сам :) хотите использовать filter XYZ - используйте! хотите использовать ACL - используйте! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 8 марта, 2011 · Жалоба чем уменьшить кол-во правил религия не позволяет?да хоть 1-52 все равно количество сколько правил столько портов. просто это сокращение записи.. snark я имелл ввиду правила PCF ... и ... и... чтобы вмешались на свитчи :D так перечислить просто порты просто.. тока на свитчи не влазит стока правил.. а то монабы было вообще на все 65535 портов правила писать :D 3028 запретить dst UDP 67 то отвалится DHCP Relay и т.д. и т.п. ...кому надо тот об этом знает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 8 марта, 2011 · Жалоба оно создаёт, но не из общих правил, количество аппаратных правил остаётся тем же самым. причём эти ACL явно софтовые, т.к. трафик отправляется на цпу для анализа, откуда в лог кладётся ип левого dhcp сервера и порт. в моей схеме мне больше аппаратные правила нужны для PCF и IP профилей,а 24 правила которые съедает такая защита это потеряных 12 привязок IP-Port. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 9 марта, 2011 · Жалоба оно создаёт, но не из общих правил, количество аппаратных правил остаётся тем же самым.причём эти ACL явно софтовые, т.к. трафик отправляется на цпу для анализа, откуда в лог кладётся ип левого dhcp сервера и порт. Гм.. А как же тогда это - DES-3526:admin#delete access_profile all Command: delete access_profile all Success. DES-3526:admin#config filter dhcp_server ports 1-24 state enable Command: config filter dhcp_server ports 1-24 state enable Success. DES-3526:admin#sh access_profile Command: show access_profile Access Profile Table Access Profile ID : 1 Type : Packet Content ================================================================================ Owner : DHCP_filter Masks : Offset 32-47 : 0x00000000 0000ffff 00000000 00000000 Access ID: 1 Mode: Deny Owner : DHCP_filter Port : 1 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 2 Mode: Deny Owner : DHCP_filter Port : 2 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 3 Mode: Deny Owner : DHCP_filter Port : 3 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 4 Mode: Deny Owner : DHCP_filter Port : 4 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 5 Mode: Deny Owner : DHCP_filter Port : 5 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 6 Mode: Deny Owner : DHCP_filter Port : 6 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 7 Mode: Deny Owner : DHCP_filter Port : 7 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 8 Mode: Deny Owner : DHCP_filter Port : 8 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 9 Mode: Deny Owner : DHCP_filter Port : 9 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 10 Mode: Deny Owner : DHCP_filter Port : 10 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 11 Mode: Deny Owner : DHCP_filter Port : 11 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 12 Mode: Deny Owner : DHCP_filter Port : 12 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 13 Mode: Deny Owner : DHCP_filter Port : 13 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 14 Mode: Deny Owner : DHCP_filter Port : 14 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 15 Mode: Deny Owner : DHCP_filter Port : 15 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 16 Mode: Deny Owner : DHCP_filter Port : 16 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 17 Mode: Deny Owner : DHCP_filter Port : 17 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 18 Mode: Deny Owner : DHCP_filter Port : 18 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 19 Mode: Deny Owner : DHCP_filter Port : 19 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 20 Mode: Deny Owner : DHCP_filter Port : 20 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 21 Mode: Deny Owner : DHCP_filter Port : 21 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 22 Mode: Deny Owner : DHCP_filter Port : 22 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 23 Mode: Deny Owner : DHCP_filter Port : 23 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 Access ID: 24 Mode: Deny Owner : DHCP_filter Port : 24 ---------------------------------------------------- Offset 32-47 : 0x00000000 00000043 00000000 00000000 ================================================================================ ACL Free: System : 776, Port 1-8 : 192, Port 9-16 : 192, Port 17-24: 192 Port 25 : 100, Port 26 : 100 Total Access Entries : 24 По 8 правил с каждой группы портов, как с куста! ИМХО, никакой экономии. Да и на форуме дилинка как-то проскакивала инфа от их представителей, что так оно и есть - все config filter.... создают соотв. ACL и сделаны только для облегчения работы админа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 9 марта, 2011 · Жалоба DES-3526 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 9 марта, 2011 · Жалоба да хоть 1-52 все равно количество сколько правил столько портов. просто это сокращение записи у 3028 (ЕМНИМС и у 3200 то же) особенность - если в ACL написано port 1-2 оно занимает 2 правила, а если написано port 1-28 занимает всего _одно_ - именно поэтому я и говорил про экономию правил я имелл ввиду правила PCFна 3028 кол-во PCF ограничено и поэтому если фильтруете, допустим, внутри РРРоЕ - то Вам PCF правил уже не хватит :(ЕМНИМС - это максимум что можно впихнуть в 3028 # PPPoE Discovery (0x8863) + Active Discovery Offer (PADO) (0x07) create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff00ff profile_id 1 config access_profile profile_id 1 add access_id auto_assign packet_content offset 12 0x88630007 port 1-24 deny # PPPoE Session (0x8864) + Protocol IP (0x0021), Version 4 + Destination port create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x0 0x0 offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 2 # 135 (87) config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x00870000 port 1-28 deny # 137 (89) config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x00890000 port 1-28 deny # 138 (8a) config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x008a0000 port 1-28 deny # 139 (8b) config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x008b0000 port 1-28 deny # 445 (1bd) config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x01bd0000 port 1-28 deny # PPPoE Session (0x8864) + Protocol IP (0x0021), Version 4 + Protocol: TCP (0x06), UDP (0x11) + Destination port create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x00000000 0x000000ff offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 3 # TCP 53 (35) config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000006 offset 44 0x00350000 port 1-28 deny # UDP 67 (43) config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000011 offset 44 0x00430000 port 1-28 deny # UDP 1900 (76c) config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000011 offset 44 0x076c0000 port 1-28 deny # TCP 2869 (b35) config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 28 0x00000006 offset 44 0x0b350000 port 1-28 deny # PPPoE create access_profile ethernet ethernet_type profile_id 4 # Discovery (0x8863) config access_profile profile_id 4 add access_id auto_assign ethernet ethernet_type 0x8863 port 1-28 permit # Session (0x8864) config access_profile profile_id 4 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-28 permit # Protocol: TCP + Destination port create access_profile ip tcp dst_port_mask 0xffff profile_id 5 config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 53 port 1-28 deny config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 139 port 1-28 deny config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 445 port 1-28 deny config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 2869 port 1-28 deny config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 5000 port 1-28 deny # Protocol: UDP + Destination port create access_profile ip udp dst_port_mask 0xffff profile_id 6 config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 67 port 1-24 permit config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 68 port 1-28 deny config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 137 port 1-28 deny config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 138 port 1-28 deny config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 445 port 1-28 deny config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 1900 port 1-28 deny # ARP create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0xffff0000 0x0 0x0 0xffffffff profile_id 7 config access_profile profile_id 7 add access_id 1 packet_content offset 12 0x08060000 offset 16 0x08000000 offset 28 0xHEX.IP.addr port 1 permit # бродкасты create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 8 config access_profile profile_id 8 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny # IP create access_profile ip source_ip_mask 255.255.255.255 profile_id 9 config access_profile profile_id 9 add access_id 1 ip source_ip www.xxx.yyy.zzz port 1 permit # deny all create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 10 config access_profile profile_id 10 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny и... чтобы вмешались на свитчи :Dпро кол-во правил - смотри выше ;) все config filter.... создают соотв. ACL и сделаны только для облегчения работы админаименно так! в свое время, когда нетбиос фильтр только появился, я помнится общался с саппортом на предмет странности того какие ACL он генерит, мы проверяли, рисовали ACL-и и в общем итоге все наши изыскания ушли в Китай где фильтр таки поправили чтобы он ерунду не создавал ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 9 марта, 2011 · Жалоба Начали с портов, закончили D-Link'ом :) Для тех, кто не в курсе об особенностях ACL в разных железках этого производителя: DES-3526: 1 порт = 1 правило 10 портов = 10 правил DES-3028: 1 порт = 1 правило 10 портов = 10 правил все порты (1-28) = 1 правило DES-3528, DES-3200: 1 порт = 1 правило 10 портов = 1 правило все порты = 1 правило Как-то так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 9 марта, 2011 · Жалоба ну так и я об этом чуть выше писал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
X-RaY™ Опубликовано 9 марта, 2011 (изменено) · Жалоба А на edge-core es3528M и alu LS6224 кто нибудь поделится конфигом acl? Изменено 9 марта, 2011 пользователем X-RaY™ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 9 марта, 2011 · Жалоба на едже, что то типо (взято из конфига) access-list ip extended netbios deny udp any any source-port 135 139 deny udp any any source-port 445 445 deny tcp any any source-port 135 139 deny tcp any any source-port 445 445 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 26 мая, 2011 · Жалоба поднимим старую тему DES-3526: 1 порт = 1 правило 10 портов = 10 правил DES-3028: 1 порт = 1 правило 10 портов = 10 правил все порты (1-28) = 1 правило DES-3528, DES-3200: 1 порт = 1 правило 10 портов = 1 правило все порты = 1 правило Как-то так. а на DGS-3100 и des-3552 ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 22 июля, 2011 (изменено) · Жалоба поднимим старую тему DES-3526: 1 порт = 1 правило 10 портов = 10 правил DES-3028: 1 порт = 1 правило 10 портов = 10 правил все порты (1-28) = 1 правило DES-3528, DES-3200: 1 порт = 1 правило 10 портов = 1 правило все порты = 1 правило Как-то так. а на DGS-3100 и des-3552 ??? с DGS-3100 не работал. На des-3552 по логике должно быть все также, как на des-3528. Но зная "особенности" железа, лучше лишний раз с продавцом или менеджером длинка проконсультироваться. Изменено 22 июля, 2011 пользователем Mallorn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
abidabi Опубликовано 31 июля, 2012 · Жалоба а как посмотреть какое количество пакетов было отброшено правилами ACL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 31 июля, 2012 · Жалоба а как посмотреть какое количество пакетов было отброшено правилами ACL На D-Link`e никак Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arseniiv Опубликовано 31 июля, 2012 · Жалоба Имхо рубить весь нетбиос на бордере. А то к вашим клиентам прийдут "клиенты сети microsoft" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
abidabi Опубликовано 31 июля, 2012 · Жалоба Просмотр сообщенияabidabi (Сегодня, 11:40) писал: а как посмотреть какое количество пакетов было отброшено правилами ACL На D-Link`e никак жаль... имееться комутатор dgs-3100 порубил на нем нет биос, udp80 и udp dst-addr 255.255.255.255 подскажите какой командой в консоле можно вывести полный списол выставленых acl хочу его выложить сюда на суд присяжных. не знаю все ли я сделал правильно!? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 31 июля, 2012 · Жалоба sh acce Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...