Jump to content
Калькуляторы

ACL для коммутаторов доступа. Dlink

Добрый день.

Не раз сталкивался на форумах где обсуждают коммутаторы (длинк и не только) что Администраторы режут всякий "мусорный" трафик в сети.

 

Но я так толком и не видел полных примеров таких ACL.

У вас наверняка есть опыт в этом плане. Могли бы вы составить подобные ACL для следующих моделей коммутаторов:

DES-3028/3200/3526

DGS-3100/3120

 

Я видел несколько примеров в которых суть следующая: запрещаем все, разрешаем только то что нам нужно.

Но уже не помню где видел.

 

Наверняка у присутствующих на этом форуме людей есть уже готовые варианты, которые юзаются на собственной сети :)

Share this post


Link to post
Share on other sites

Не пинайте сильно

Вот мой

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1

config access_profile profile_id 1 add access_id 1 ip tcp dst_port 135 port 1-28 deny

config access_profile profile_id 1 add access_id 2 ip tcp dst_port 139 port 1-28 deny

config access_profile profile_id 1 add access_id 3 ip tcp dst_port 369 port 1-28 deny

config access_profile profile_id 1 add access_id 4 ip tcp dst_port 445 port 1-28 deny

config access_profile profile_id 1 add access_id 5 ip tcp dst_port 593 port 1-28 deny

config access_profile profile_id 1 add access_id 6 ip tcp dst_port 2869 port 1-28 deny

config access_profile profile_id 1 add access_id 7 ip tcp dst_port 5000 port 1-28 deny

config access_profile profile_id 1 add access_id 8 ip tcp dst_port 3380 port 1-28 deny

config access_profile profile_id 1 add access_id 9 ip tcp dst_port 3382 port 1-28 deny

config access_profile profile_id 1 add access_id 10 ip tcp dst_port 69 port 1-28 deny

config access_profile profile_id 1 add access_id 11 ip tcp dst_port 42 port 1-28 deny

config access_profile profile_id 1 add access_id 12 ip tcp dst_port 137 port 1-28 deny

config access_profile profile_id 1 add access_id 13 ip tcp dst_port 138 port 1-28 deny

config access_profile profile_id 1 add access_id 14 ip tcp dst_port 1042 port 1-28 deny

config access_profile profile_id 1 add access_id 15 ip tcp dst_port 1034 port 1-28 deny

config access_profile profile_id 1 add access_id 16 ip tcp dst_port 2869 port 1-28 deny

config access_profile profile_id 1 add access_id 17 ip tcp dst_port 4444 port 1-28 deny

config access_profile profile_id 1 add access_id 18 ip tcp dst_port 3587 port 1-28 deny

config access_profile profile_id 1 add access_id 19 ip tcp dst_port 5357 port 1-28 deny

config access_profile profile_id 1 add access_id 20 ip tcp dst_port 5358 port 1-28 deny

config access_profile profile_id 1 add access_id 21 ip tcp dst_port 79 port 1-28 deny

config access_profile profile_id 1 add access_id 22 ip tcp dst_port 113 port 1-28 deny

config access_profile profile_id 1 add access_id 23 ip tcp dst_port 119 port 1-28 deny

config access_profile profile_id 1 add access_id 24 ip tcp dst_port 555 port 1-28 deny

config access_profile profile_id 1 add access_id 25 ip tcp dst_port 666 port 1-28 deny

config access_profile profile_id 1 add access_id 26 ip tcp dst_port 1001 port 1-28 deny

config access_profile profile_id 1 add access_id 27 ip tcp dst_port 1002 port 1-28 deny

config access_profile profile_id 1 add access_id 28 ip tcp dst_port 1243 port 1-28 deny

 

create access_profile ip udp src_port_mask 0xFFFF profile_id 2

config access_profile profile_id 2 add access_id 41 ip udp src_port 137 port 1-28 deny

config access_profile profile_id 2 add access_id 42 ip udp src_port 138 port 1-28 deny

config access_profile profile_id 2 add access_id 43 ip udp src_port 1900 port 1-28 deny

config access_profile profile_id 2 add access_id 44 ip udp src_port 42 port 1-28 deny

config access_profile profile_id 2 add access_id 45 ip udp src_port 69 port 1-24 deny

config access_profile profile_id 2 add access_id 46 ip udp src_port 139 port 1-28 deny

config access_profile profile_id 2 add access_id 47 ip udp src_port 2869 port 1-28 deny

config access_profile profile_id 2 add access_id 48 ip udp src_port 65037 port 1-28 deny

config access_profile profile_id 2 add access_id 49 ip udp src_port 56330 port 1-28 deny

config access_profile profile_id 2 add access_id 50 ip udp src_port 80 port 1-28 deny

config access_profile profile_id 2 add access_id 51 ip udp src_port 3540 port 1-28 deny

config access_profile profile_id 2 add access_id 52 ip udp src_port 3702 port 1-28 deny

config access_profile profile_id 2 add access_id 53 ip udp src_port 5355 port 1-28 deny

config access_profile profile_id 2 add access_id 54 ip udp src_port 67 port 1-24 deny

 

#Запретить только IP

create access_profile ip protocol_id_mask 0xFF source_ip_mask 255.255.255.255 profile_id 3

config access_profile profile_id 3 add access_id 61 ip protocol_id 255 source_ip *.*.*.* port 1-24 deny

config access_profile profile_id 3 add access_id 62 ip protocol_id 255 source_ip *.*.*.* port 1-24 deny

config access_profile profile_id 3 add access_id 63 ip protocol_id 255 source_ip *.*.*.* port 1-24 deny

 

#Разрешить только IP

create access_profile ip protocol_id_mask 0xFF source_ip_mask 255.255.0.0 profile_id 4

config access_profile profile_id 4 add access_id 71 ip protocol_id 255 source_ip *.*.*.* port 1-28 permit

 

create access_profile ip protocol_id_mask 0xFF source_ip_mask 255.255.255.0 profile_id 5

config access_profile profile_id 5 add access_id 81 ip protocol_id 255 source_ip *.*.*.* port 25-28 permit

 

create access_profile ip protocol_id_mask 0xFF source_ip_mask 0.0.0.0 profile_id 6

config access_profile profile_id 6 add access_id 91 ip protocol_id 255 source_ip 0.0.0.0 port 1-28 deny

 

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 8

config access_profile profile_id 8 add access_id 101 ethernet source_mac 00:00:00:99:75:95 port 1-24 deny

config access_profile profile_id 8 add access_id 101 ethernet source_mac 00:00:00:BC:61:64 port 1-24 deny

 

 

config stp version rstp

config stp port 1-24 fbpdu disable state disable

 

config port_security ports 1-24 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout

 

 

save

 

Примерно как то так

Share this post


Link to post
Share on other sites

config access_profile profile_id 6 add access_id 91 ip protocol_id 255 source_ip 0.0.0.0 port 1-28 deny

protocol_id 255 - можно пожалуйсто расшифровать что это обозначает? (предпологаю все протоколы?)

Share this post


Link to post
Share on other sites
Я видел несколько примеров в которых суть следующая: запрещаем все, разрешаем только то что нам нужно.

Но уже не помню где видел.

 

Для начала напиши что вам нужно то?

Как для абонентов доступ осуществляется и прочее.

Share this post


Link to post
Share on other sites

нужно порезать мусор (незнаю как еще подробнее выразиться)

а точнее порезать все, и разрешить нужное (исключив всякий мусор).

если честно, то я надеялся на то что мне поподробнее разжуют за каждый acl :) хочу какого-то идеала :)

 

у абонентов ipoe

(примерно 90% получают настройки по dhcp, сразу получают внешний айпи адрес. остальные ~10% работают через нат, то-есть у них прописаны настройки в серую сеть 10.0.0.0/8)

никаких впнов, пппое итд не используется.

Share this post


Link to post
Share on other sites

config access_profile profile_id 6 add access_id 91 ip protocol_id 255 source_ip 0.0.0.0 port 1-28 deny

protocol_id 255 - можно пожалуйсто расшифровать что это обозначает? (предпологаю все протоколы?)

Да совершенно верно. Запретить все сети которые не разрешенны выше.

 

Правила выше разрешают определенные подсети

Share this post


Link to post
Share on other sites

я вижу что ацл создан на основе ip

а можно сделать более "глобальнее" и создать на основе ethernet? то-есть запретить весь ethernet

Share this post


Link to post
Share on other sites
а можно сделать более "глобальнее" и создать на основе ethernet?

Можно, через PCF.

 

ACL только для DES3200

 

1. В профиле определяется выборки по внутренему тегу пакета и по неиспользуемому в правилах полю в пакете.

1.1. В правиле разрешается прохождение пакета с внутреним тегом. Также на это правило можно будет повесить Flow Meter, ограничив тем самым исходящую скорость во влане.

Для ограничения входящей скорость нужно будет еще одно разрешающее правило на порт аплинка, на которое потом вещается Flow Meter.

CLI:

Profile:

create access_profile packet_content_mask c_tag 0xffff offset1 l2 0 0xFFFF profile_id 1

Rule:

# Allow Vlan

config access_profile profile_id 1 add access_id 1 packet_content c_tag 0x0faa offset1 0x0 port 1 permit

 

2. В профиле определяется выборки по mac адресу назначения и полям в пакете, которые содержат:

offset1 - ethertype, offset2 — первые два байта ip адреса.

2.1. В правиле блокируется PPPoE Discovery.

2.2. В правиле блокируется PPPoE Session.

2.3. В правиле блокируется IPX протокол.

2.4. В правиле блокируется AppleTalk протокол.

2.5. В правиле блокируется AppleTalk ARP протокол.

2.6. В правиле блокируется IPv6 протокол.

2.7. В правиле блокируется IP Broadcast.

2.8. В правиле разрешается ARP запросы/ответы от сети 172.20.0.0/16. В Flow Meter определяется поток для ARP пакетов не более 64 Кбит.

 

CLI:

Profile:

create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xFFFF offset2 l3 14 0xFFFF offset3 l3 16 0xFFFF profile_id 2

Rule:

# Block PPPoE Discovery

config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 port 1 deny

# Block PPPoE Session

config access_profile profile_id 2 add access_id 2 packet_content offset1 0x8864 port 1 deny

# Block IPX

config access_profile profile_id 2 add access_id 3 packet_content offset1 0x8137 port 1 deny

# Block AppleTalk

config access_profile profile_id 2 add access_id 4 packet_content offset1 0x809B port 1 deny

# Block AppleTalk ARP

config access_profile profile_id 2 add access_id 5 packet_content offset1 0x80F3 port 1 deny

# Block IPv6

config access_profile profile_id 2 add access_id 6 packet_content offset1 0x86DD port 1 deny

# Block IP Broadcast

config access_profile profile_id 2 add access_id 7 packet_content destination_mac FF-FF-FF-FF-FF-FF offset1 0x0800 port 1 deny

# Allow ARP Request From 172.20.0.0/16

config access_profile profile_id 2 add access_id 8 packet_content offset1 0x0806 offset2 0xAC14 port 1 permit counter enable

config flow_meter profile_id 2 access_id 8 rate 64 rate_exceed drop_packet

Тут можно еще порезать протоколы (если встречаются в сети), и попытаться порезать арпы для сетей, которые используются.

 

3. В профиле определяется выборки по полям в пакете, которые содержат:

offset1 - протокол, offset2 — первые два байта ip адреса, offset3 — вторые два байта ip адреса, offset4 — номер порта.

3.1. В правиле блокируется порт назначения 67 для протокола UDP.

3.2. В правиле блокируется порт назначения 68 для протокола UDP.

3.3. В правиле блокируется порт назначения 137 для протокола UDP.

3.4. В правиле блокируется порт назначения 138 для протокола UDP.

3.5. В правиле блокируется порт назначения 445.

3.6. В правиле блокируется порт назначения 1900 для протокола UDP.

3.7. В правиле блокируется порт назначения 53 для протокола TCP.

3.8. В правиле блокируется порт назначения 135 для протокола TCP.

3.9. В правиле блокируется порт назначения 139 для протокола TCP.

3.10. В правиле блокируется порт назначения 2869 для протокола TCP.

3.11. В правиле блокируется порт назначения 5000 для протокола TCP.

....

3.21. В правиле блокируется порт назначения 25.

 

CLI:

Profile:

create access_profile packet_content_mask offset1 l3 8 0x00FF offset2 l3 16 0xFFFF offset3 l3 18 0xFFFF offset4 l4 2 0xFFFF profile_id 3

Rule:

# Block DHCP Server

config access_profile profile_id 3 add access_id 1 packet_content offset1 0x0011 offset4 0x0043 port 1 deny

# Block DHCP Client

config access_profile profile_id 3 add access_id 2 packet_content offset1 0x0011 offset4 0x0044 port 1 deny

# Block NETBIOS Name Service (UDP 137)

config access_profile profile_id 3 add access_id 3 packet_content offset1 0x0011 offset4 0x0089 port 1 deny

# Block NETBIOS Datagram Service (UDP 138)

config access_profile profile_id 3 add access_id 4 packet_content offset1 0x0011 offset4 0x008a port 1 deny

# Block Microsoft-DS SMB file sharing (UDP 445) & Block Microsoft Naked CIFS,Microsoft-DS Active Directory, Windows shares (TCP 445)

config access_profile profile_id 3 add access_id 5 packet_content offset4 0x01bd port 1 deny

# Block SSDP Discovery (UDP 1900)

config access_profile profile_id 3 add access_id 6 packet_content offset1 0x0011 offset4 0x076c port 1 deny

# Block DNS Server Transfer Zone (TCP 53)

config access_profile profile_id 3 add access_id 7 packet_content offset1 0x0006 offset4 0x0035 port 1 deny

# Block Location Service (TCP 135)

config access_profile profile_id 3 add access_id 8 packet_content offset1 0x0006 offset4 0x0087 port 1 deny

# Block NETBIOS session service (TCP 139)

config access_profile profile_id 3 add access_id 9 packet_content offset1 0x0006 offset4 0x008b port 1 deny

# Block Microsoft Universal Plug&Play Discovery (TCP 2869)

config access_profile profile_id 3 add access_id 10 packet_content offset1 0x0006 offset4 0x0b35 port 1 deny

# Block Universal Plug and Play (TCP 5000)

config access_profile profile_id 3 add access_id 11 packet_content offset1 0x0006 offset4 0x1388 port 1 deny

....

# Block Other SMTP

config access_profile profile_id 3 add access_id 21 packet_content offset1 0x0006 offset4 0x0019 port 1 deny

Правила 3.12-3.20 доступ к внутренним ресурсам сети (ЛК), dns'ам, smtp и т.д.

 

4. В профиле определяются выборки по mac адресу назначения и источника и по неиспользуемому в правилах полю в пакете.

4.1. В правиле разрешается доступ от mac адреса источники. В Flow Meter ограничивается поток.

4.2. В правиле разрешается доступ к mac адресу источники. В Flow Meter ограничивается поток.

CLI:

Profile:

create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF source_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xFFFF profile_id 4

Rule:

config access_profile profile_id 4 add access_id 1 packet_content source_mac 64-31-50-95-FA-F8 port 1 permit counter enable

config flow_meter profile_id 4 access_id 1 rate 10240 rate_exceed drop_packet

config access_profile profile_id 4 add access_id 2 packet_content destination_mac 64-31-50-95-FA-F8 port 10 permit counter enable

config flow_meter profile_id 4 access_id 2 rate 10240 rate_exceed drop_packet

 

5. В профиле определяются выборки по mac адресу источника и по неиспользуемому в правилах полю в пакете.

5.1. В правиле запрещается доступ с любым mac адресом источника.

CLI:

Profile:

create access_profile packet_content_mask source_mac 00-00-00-00-00-00 offset1 l2 0 0xFFFF profile_id 5

Rule:

config access_profile profile_id 5 add access_id 1 packet_content source_mac 00-00-00-00-00-00 offset1 0x0000 port 1 deny

Share this post


Link to post
Share on other sites

config access_profile profile_id 5 add access_id 1 packet_content source_mac 00-00-00-00-00-00 offset1 0x0000 port 1 deny

это заблокирует любой трафик на 1 порту?

 

п.с. для 3028 и 3526 синтаксис другой или там впринципе нельзя составить такие правила?

Edited by mcdemon

Share this post


Link to post
Share on other sites

Да.

 

п.с. для 3028 и 3526 синтаксис другой или там впринципе нельзя составить такие правила?

Там не только синтаксис другой, там принципы построения ACL иные.

Составить можно.

Share this post


Link to post
Share on other sites

config access_profile profile_id 5 add access_id 1 packet_content source_mac 00-00-00-00-00-00 offset1 0x0000 port 1 deny

 

более "глобально" нельзя порезать? то-есть это самое самое общее правило?

p.s. acl которые вы привели, вы используете на своей сети или просто где-то взяли?

Edited by mcdemon

Share this post


Link to post
Share on other sites

Наверняка у присутствующих на этом форуме людей есть уже готовые варианты, которые юзаются на собственной сети :)

http://sources.homelink.ru/viewcvs/scripts-misc/msblock3526?root=routers_mgmt&rev=111&view=markup

Share this post


Link to post
Share on other sites
более "глобально" нельзя порезать? то-есть это самое самое общее правило?

Что значит более глобально? Можно пример?

Каждый пакет имеет mac-адрес, в интересующем ACL ограничения накладываются по mac-адресу, т.е. на втором уровне.

Если второй уровень это недостаточно "глобально", ну режьте на первом, патчкордом из порта :)

 

p.s. acl которые вы привели, вы используете на своей сети или просто где-то взяли?

Использую, нигде я их не брал.

Share this post


Link to post
Share on other sites

служебные пакеты тоже не смогут проходить через это правило?

stp например

Share this post


Link to post
Share on other sites
служебные пакеты тоже не смогут проходить через это правило?

И да, и нет.

Они не пройдут дальше порта, но они придут на порт (так как ACL не влияют на коммутацию пакетов и практически весь функционал свитчей отрабатывает до пользовательских ACL), и следовательно все отработает так, как настроено.

Так, если посмотреть на правило 3.1., видно, что пакеты к dhcp-серверу будут заблокированы, но так как используется dhcp relay, а он отрабатывает до ACL, то dhcp протокол работает без проблем.

Тоже самое касается и LBD, пакет придет на порт - порт заблокируется.

 

Поэтому использование ACL ни в коем случае не отменяет настройку других модулей в прошивке свитча, а лишь дополняет ее.

Share this post


Link to post
Share on other sites

в 3 блоке правил, у вас часть правил не показана

можете показать 3 блок полностью?

 

и еще такие вопросы:

# Allow Vlan - если в этом привели не указать c_tag, то коммутатор будет пропускать только нетегированные пакеты на этом порту?

Получается что лучше это правило ставить на аплинки, а на абонентов (т.к. влан на них идет антегом) тоже правило но без c_tag?

 

# Block DHCP Server - может быть лучше воспользоваться функцией DHCP Server Screening? он еще и залогирует если увидит дхцп с левого порта.

или эта функция работает немного по другому?

# Block DHCP Client - это правило ты сделал потому-что используешь dhcp relay на 3200?

Если у меня дхцп релэй настроен только в ядре сети (где терменируются вланы), а на доступе просто ip-mac-port binding (arp mode) без всяких дхцп снупингов, то мне это правило делать нельзя?

# Block Other SMTP - это вы делаете зачем? Получается, что абонент не сможет нормально настроить смтп в почтовом клиенте если порт стандартный?

(я так понимаю что предидущее правило разрешает смтп до сторого определенного вашего сервера?)

Edited by mcdemon

Share this post


Link to post
Share on other sites
Block DHCP Server - может быть лучше воспользоваться функцией DHCP Server Screening? он еще и залогирует если увидит дхцп с левого порта.

или эта функция работает немного по другому?

Также она работает. Тоже создает ACL и все.

 

Суть в том что настройки ACL должны быть последовательны, пакет попавший под правило N5 до правила N6 не дойдет.

делая правила вручную можно добиться того чтобы правила отрабатывали в нужном порядке.

 

Если вы используете готовые функции - у вас правила будут с минимальными номерами профилей.

 

Для начала нужно определиться что требуется от правил, собственно что надо блочить и где, создать их и оттестировать.

Share this post


Link to post
Share on other sites

ну в 3526 правило действительно создается

а в 3200 в ACL пусто

Share this post


Link to post
Share on other sites

и в 3028 пусто, может там другой механизм?

Share this post


Link to post
Share on other sites
в 3 блоке правил, у вас часть правил не показана

можете показать 3 блок полностью?

Там специфические настройки для моей сети - просто перечисление ip/сетей, куда клиенты должны иметь доступ без авторизации:

# Allow 10.21.5.240

config access_profile profile_id 3 add access_id 12 packet_content offset2 0x0a15 offset3 0x05f0 port 1 permit counter enable

# Allow 80.91.169.4

config access_profile profile_id 3 add access_id 13 packet_content offset2 0x505b offset3 0xa904 port 1 permit counter enable

# Allow 80.91.169.22/31

config access_profile profile_id 3 add access_id 14 packet_content offset2 0x505b offset3 0xa916 mask 0xFFFE port 1 permit counter enable

# Allow 91.193.68.35

config access_profile profile_id 3 add access_id 15 packet_content offset2 0x5bc1 offset3 0x4423 port 1 permit counter enable

# Allow 91.193.69.4/31

config access_profile profile_id 3 add access_id 16 packet_content offset2 0x5bc1 offset3 0x4504 mask 0xFFFE port 1 permit counter enable

# Allow 91.193.69.22

config access_profile profile_id 3 add access_id 17 packet_content offset2 0x5bc1 offset3 0x4516 port 1 permit counter enable

# Allow 217.117.65.234

config access_profile profile_id 3 add access_id 18 packet_content offset2 0xd975 offset3 0x41ea port 1 permit counter enable

# Allow 91.227.52.0/24

config access_profile profile_id 3 add access_id 19 packet_content offset2 0x5be3 offset3 0x3400 mask 0xFF00 port 1 permit counter enable

# Allow GTS SMTP

config access_profile profile_id 3 add access_id 20 packet_content offset2 0x5bc1 offset3 0x4405 offset4 0x0019 port 1 permit counter enable

 

# Allow Vlan - если в этом привели не указать c_tag, то коммутатор будет пропускать только нетегированные пакеты на этом порту?

Коммутатор вообще все пакеты пропускать будет, так как у него не будет критерия по которому их пропускать.

 

Получается что лучше это правило ставить на аплинки, а на абонентов (т.к. влан на них идет антегом) тоже правило но без c_tag?

Нет, на аплинки на уровне доступа вообще лучше ставить всего по меньше, во избежания головной боли :)

Это правило вообще лучше никогда не использовать.

Мне оно нужно было только для клиентов, которые имеют подключения к сети как физ. и юр. лица.

И им домой нужно было подать доступ к их офисным сетям, делалось просто через подачу тегированного трафика в порт.

И вот чтобы с этим трафиком ничего не происходило на клиентском порту было создано правило, что если на порт приходит тегированный трафик с опеределенным VLANID просто пропускаем его и все.

 

# Block DHCP Server - может быть лучше воспользоваться функцией DHCP Server Screening? он еще и залогирует если увидит дхцп с левого порта.

или эта функция работает немного по другому?

Лучше. Этот ACL аналог DHCP Server Screening, за исключением логов. Этот ACL и Screening друг друг не отменяют. DHCP Server Screening (я об этом уже писал) отрабатывает до пользовательских ACL, то есть логи/трапы от Screening'а — все это будет, а ACL я использую для подстраховки, так как в бета-прошивках Длинка возможно все :)

 

# Block DHCP Client - это правило ты сделал потому-что используешь dhcp relay на 3200?

Если у меня дхцп релэй настроен только в ядре сети (где терменируются вланы), а на доступе просто ip-mac-port binding (arp mode) без всяких дхцп снупингов, то мне это правило делать нельзя?

Нет, это правило - лишняя перестраховка. С клиентских портов никакой трафик не должен уходить на порт назначения 68, поэтому и фильтруем, на всякий случай.

Тебе нельзя использовать в первую очередь правило 2.7, а потом уже 3.1.

 

# Block Other SMTP - это вы делаете зачем? Получается, что абонент не сможет нормально настроить смтп в почтовом клиенте если порт стандартный?

(я так понимаю что предидущее правило разрешает смтп до сторого определенного вашего сервера?)

Да. Да.

 

ну в 3526 правило действительно создается

а в 3200 в ACL пусто

и в 3028 пусто, может там другой механизм?

Не на всех сериях эти правила видны пользователям, но это не значит, что их нет :)

Share this post


Link to post
Share on other sites

в 4 блоке правил, мне необходимо будет создать правила с мак адресами шлюзов?

Ну что-бы у абонентов вообще что-то работало :)

 

Нет, это правило - лишняя перестраховка. С клиентских портов никакой трафик не должен уходить на порт назначения 68, поэтому и фильтруем, на всякий случай.

Тебе нельзя использовать в первую очередь правило 2.7, а потом уже 3.1.

по поводу 2.7 - мы блочим ип броадкаст и у нас отваливается дхцп верно?

здесь http://dlink.ru/ru/faq/62/240.html в примере номер 3 говорится кокраз по этому поводу.

 

create access_profile packet_content_mask offset_16-31 0x0 0x0 0x000000ff 0x0 offset_32-47 0x0 0x0000ffff 0x0 0x0 profile_id 1 
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x00000044 0x0 0x0 port 1 permit 
config access_profile profile_id 1 add access_id 2 packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x00000043 0x0 0x0 port 1 deny 

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 2 
config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 1 permit 
config access_profile profile_id 2 add access_id 2 ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1 deny

Можешь это правило привести в тот вид, в котором правила у тебя?

То-есть что-бы я всетаки смог заблокировать ип броадкаст, но что-бы работало дхцп.

Edited by mcdemon

Share this post


Link to post
Share on other sites
в 4 блоке правил, мне необходимо будет создать правила с мак адресами шлюзов?

Если использовать конкретно мою модель ACL, то да.

 

по поводу 2.7 - мы блочим ип броадкаст и у нас отваливается дхцп верно?

Да.

 

То-есть что-бы я всетаки смог заблокировать ип броадкаст, но что-бы работало дхцп

Чтобы это сделать нужно правила работы dhcp поднять выше правила блокировки ip broadcast.

 

Самое простое, что можно сделать в текущей модели, так это, пожалуй:

1. Удалить 2.7.

2. Вместо:

# Block DHCP Server

config access_profile profile_id 3 add access_id 1 packet_content offset1 0x0011 offset4 0x0043 port 1 deny

сделать:

 

# Allow DHCP Server

config access_profile profile_id 3 add access_id 1 packet_content offset1 0x0011 offset4 0x0043 port 1 permit

 

3. Создать промежуточный профиль между 3 и 4, который станет новым 4, а старые 4 и 5 профили и правила сместить на единицу:

create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xFFFF profile_id 4

 

и добавить старое правило из 2.7:

config access_profile profile_id 4 add access_id 1 packet_content destination_mac FF-FF-FF-FF-FF-FF offset1 0x0800 port 1 deny

Share this post


Link to post
Share on other sites

Подскажи еще такую вещь. Как сделать правило что-бы в управляющем влане разрешался весь трафик, то-есть не фильтровался ацл.

Share this post


Link to post
Share on other sites

Здравствуйте. Подскажите пожалуйста возможно ли запретить левые pppoe серера, но чтобы свой работал, если возможно пожалуйста подскажите как.

 

вот мои ацлы на текущий момент

#блочим левые dhcp

create access_profile ip udp src_port_mask 0xFFFF profile_id 1

config access_profile profile_id 1 add access_id auto_assign ip udp src_port 67 port 1-24 deny

config access_profile profile_id 1 add access_id auto_assign ip udp src_port 68 port 1-24 permit

create access_profile ip udp dst_port_mask 0xFFFF profile_id 2

config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny

config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 permit

 

#блочим нетбиос

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 3

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 135 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 137 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 138 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 139 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 445 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 1900 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 2869 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 42 port all deny

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 4

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 135 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 137 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 138 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 139 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 445 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 1900 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 2869 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 42 port all deny

 

#разрешаем адреса только из нашей сети

create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 0.0.0.0 profile_id 5

config access_profile profile_id 5 add access_id auto_assign ip source_ip 172.17.0.0 destination_ip 0.0.0.0 port 1-24 permit

 

#блочим адреса не из нашей сети

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 6

config access_profile profile_id 6 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this