mcdemon Опубликовано 11 апреля, 2012 · Жалоба Добрый день. Не раз сталкивался на форумах где обсуждают коммутаторы (длинк и не только) что Администраторы режут всякий "мусорный" трафик в сети. Но я так толком и не видел полных примеров таких ACL. У вас наверняка есть опыт в этом плане. Могли бы вы составить подобные ACL для следующих моделей коммутаторов: DES-3028/3200/3526 DGS-3100/3120 Я видел несколько примеров в которых суть следующая: запрещаем все, разрешаем только то что нам нужно. Но уже не помню где видел. Наверняка у присутствующих на этом форуме людей есть уже готовые варианты, которые юзаются на собственной сети :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 12 апреля, 2012 · Жалоба поиск? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
little Опубликовано 12 апреля, 2012 · Жалоба Не пинайте сильно Вот мой create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1 config access_profile profile_id 1 add access_id 1 ip tcp dst_port 135 port 1-28 deny config access_profile profile_id 1 add access_id 2 ip tcp dst_port 139 port 1-28 deny config access_profile profile_id 1 add access_id 3 ip tcp dst_port 369 port 1-28 deny config access_profile profile_id 1 add access_id 4 ip tcp dst_port 445 port 1-28 deny config access_profile profile_id 1 add access_id 5 ip tcp dst_port 593 port 1-28 deny config access_profile profile_id 1 add access_id 6 ip tcp dst_port 2869 port 1-28 deny config access_profile profile_id 1 add access_id 7 ip tcp dst_port 5000 port 1-28 deny config access_profile profile_id 1 add access_id 8 ip tcp dst_port 3380 port 1-28 deny config access_profile profile_id 1 add access_id 9 ip tcp dst_port 3382 port 1-28 deny config access_profile profile_id 1 add access_id 10 ip tcp dst_port 69 port 1-28 deny config access_profile profile_id 1 add access_id 11 ip tcp dst_port 42 port 1-28 deny config access_profile profile_id 1 add access_id 12 ip tcp dst_port 137 port 1-28 deny config access_profile profile_id 1 add access_id 13 ip tcp dst_port 138 port 1-28 deny config access_profile profile_id 1 add access_id 14 ip tcp dst_port 1042 port 1-28 deny config access_profile profile_id 1 add access_id 15 ip tcp dst_port 1034 port 1-28 deny config access_profile profile_id 1 add access_id 16 ip tcp dst_port 2869 port 1-28 deny config access_profile profile_id 1 add access_id 17 ip tcp dst_port 4444 port 1-28 deny config access_profile profile_id 1 add access_id 18 ip tcp dst_port 3587 port 1-28 deny config access_profile profile_id 1 add access_id 19 ip tcp dst_port 5357 port 1-28 deny config access_profile profile_id 1 add access_id 20 ip tcp dst_port 5358 port 1-28 deny config access_profile profile_id 1 add access_id 21 ip tcp dst_port 79 port 1-28 deny config access_profile profile_id 1 add access_id 22 ip tcp dst_port 113 port 1-28 deny config access_profile profile_id 1 add access_id 23 ip tcp dst_port 119 port 1-28 deny config access_profile profile_id 1 add access_id 24 ip tcp dst_port 555 port 1-28 deny config access_profile profile_id 1 add access_id 25 ip tcp dst_port 666 port 1-28 deny config access_profile profile_id 1 add access_id 26 ip tcp dst_port 1001 port 1-28 deny config access_profile profile_id 1 add access_id 27 ip tcp dst_port 1002 port 1-28 deny config access_profile profile_id 1 add access_id 28 ip tcp dst_port 1243 port 1-28 deny create access_profile ip udp src_port_mask 0xFFFF profile_id 2 config access_profile profile_id 2 add access_id 41 ip udp src_port 137 port 1-28 deny config access_profile profile_id 2 add access_id 42 ip udp src_port 138 port 1-28 deny config access_profile profile_id 2 add access_id 43 ip udp src_port 1900 port 1-28 deny config access_profile profile_id 2 add access_id 44 ip udp src_port 42 port 1-28 deny config access_profile profile_id 2 add access_id 45 ip udp src_port 69 port 1-24 deny config access_profile profile_id 2 add access_id 46 ip udp src_port 139 port 1-28 deny config access_profile profile_id 2 add access_id 47 ip udp src_port 2869 port 1-28 deny config access_profile profile_id 2 add access_id 48 ip udp src_port 65037 port 1-28 deny config access_profile profile_id 2 add access_id 49 ip udp src_port 56330 port 1-28 deny config access_profile profile_id 2 add access_id 50 ip udp src_port 80 port 1-28 deny config access_profile profile_id 2 add access_id 51 ip udp src_port 3540 port 1-28 deny config access_profile profile_id 2 add access_id 52 ip udp src_port 3702 port 1-28 deny config access_profile profile_id 2 add access_id 53 ip udp src_port 5355 port 1-28 deny config access_profile profile_id 2 add access_id 54 ip udp src_port 67 port 1-24 deny #Запретить только IP create access_profile ip protocol_id_mask 0xFF source_ip_mask 255.255.255.255 profile_id 3 config access_profile profile_id 3 add access_id 61 ip protocol_id 255 source_ip *.*.*.* port 1-24 deny config access_profile profile_id 3 add access_id 62 ip protocol_id 255 source_ip *.*.*.* port 1-24 deny config access_profile profile_id 3 add access_id 63 ip protocol_id 255 source_ip *.*.*.* port 1-24 deny #Разрешить только IP create access_profile ip protocol_id_mask 0xFF source_ip_mask 255.255.0.0 profile_id 4 config access_profile profile_id 4 add access_id 71 ip protocol_id 255 source_ip *.*.*.* port 1-28 permit create access_profile ip protocol_id_mask 0xFF source_ip_mask 255.255.255.0 profile_id 5 config access_profile profile_id 5 add access_id 81 ip protocol_id 255 source_ip *.*.*.* port 25-28 permit create access_profile ip protocol_id_mask 0xFF source_ip_mask 0.0.0.0 profile_id 6 config access_profile profile_id 6 add access_id 91 ip protocol_id 255 source_ip 0.0.0.0 port 1-28 deny create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 8 config access_profile profile_id 8 add access_id 101 ethernet source_mac 00:00:00:99:75:95 port 1-24 deny config access_profile profile_id 8 add access_id 101 ethernet source_mac 00:00:00:BC:61:64 port 1-24 deny config stp version rstp config stp port 1-24 fbpdu disable state disable config port_security ports 1-24 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout save Примерно как то так Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 12 апреля, 2012 · Жалоба config access_profile profile_id 6 add access_id 91 ip protocol_id 255 source_ip 0.0.0.0 port 1-28 deny protocol_id 255 - можно пожалуйсто расшифровать что это обозначает? (предпологаю все протоколы?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 12 апреля, 2012 · Жалоба Я видел несколько примеров в которых суть следующая: запрещаем все, разрешаем только то что нам нужно.Но уже не помню где видел. Для начала напиши что вам нужно то? Как для абонентов доступ осуществляется и прочее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 12 апреля, 2012 · Жалоба нужно порезать мусор (незнаю как еще подробнее выразиться) а точнее порезать все, и разрешить нужное (исключив всякий мусор). если честно, то я надеялся на то что мне поподробнее разжуют за каждый acl :) хочу какого-то идеала :) у абонентов ipoe (примерно 90% получают настройки по dhcp, сразу получают внешний айпи адрес. остальные ~10% работают через нат, то-есть у них прописаны настройки в серую сеть 10.0.0.0/8) никаких впнов, пппое итд не используется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
little Опубликовано 12 апреля, 2012 · Жалоба config access_profile profile_id 6 add access_id 91 ip protocol_id 255 source_ip 0.0.0.0 port 1-28 deny protocol_id 255 - можно пожалуйсто расшифровать что это обозначает? (предпологаю все протоколы?) Да совершенно верно. Запретить все сети которые не разрешенны выше. Правила выше разрешают определенные подсети Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 12 апреля, 2012 · Жалоба я вижу что ацл создан на основе ip а можно сделать более "глобальнее" и создать на основе ethernet? то-есть запретить весь ethernet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpiderX Опубликовано 12 апреля, 2012 · Жалоба а можно сделать более "глобальнее" и создать на основе ethernet? Можно, через PCF. ACL только для DES3200 1. В профиле определяется выборки по внутренему тегу пакета и по неиспользуемому в правилах полю в пакете.1.1. В правиле разрешается прохождение пакета с внутреним тегом. Также на это правило можно будет повесить Flow Meter, ограничив тем самым исходящую скорость во влане. Для ограничения входящей скорость нужно будет еще одно разрешающее правило на порт аплинка, на которое потом вещается Flow Meter. CLI: Profile: create access_profile packet_content_mask c_tag 0xffff offset1 l2 0 0xFFFF profile_id 1 Rule: # Allow Vlan config access_profile profile_id 1 add access_id 1 packet_content c_tag 0x0faa offset1 0x0 port 1 permit 2. В профиле определяется выборки по mac адресу назначения и полям в пакете, которые содержат:offset1 - ethertype, offset2 — первые два байта ip адреса. 2.1. В правиле блокируется PPPoE Discovery. 2.2. В правиле блокируется PPPoE Session. 2.3. В правиле блокируется IPX протокол. 2.4. В правиле блокируется AppleTalk протокол. 2.5. В правиле блокируется AppleTalk ARP протокол. 2.6. В правиле блокируется IPv6 протокол. 2.7. В правиле блокируется IP Broadcast. 2.8. В правиле разрешается ARP запросы/ответы от сети 172.20.0.0/16. В Flow Meter определяется поток для ARP пакетов не более 64 Кбит. CLI: Profile: create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xFFFF offset2 l3 14 0xFFFF offset3 l3 16 0xFFFF profile_id 2 Rule: # Block PPPoE Discovery config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 port 1 deny # Block PPPoE Session config access_profile profile_id 2 add access_id 2 packet_content offset1 0x8864 port 1 deny # Block IPX config access_profile profile_id 2 add access_id 3 packet_content offset1 0x8137 port 1 deny # Block AppleTalk config access_profile profile_id 2 add access_id 4 packet_content offset1 0x809B port 1 deny # Block AppleTalk ARP config access_profile profile_id 2 add access_id 5 packet_content offset1 0x80F3 port 1 deny # Block IPv6 config access_profile profile_id 2 add access_id 6 packet_content offset1 0x86DD port 1 deny # Block IP Broadcast config access_profile profile_id 2 add access_id 7 packet_content destination_mac FF-FF-FF-FF-FF-FF offset1 0x0800 port 1 deny # Allow ARP Request From 172.20.0.0/16 config access_profile profile_id 2 add access_id 8 packet_content offset1 0x0806 offset2 0xAC14 port 1 permit counter enable config flow_meter profile_id 2 access_id 8 rate 64 rate_exceed drop_packet Тут можно еще порезать протоколы (если встречаются в сети), и попытаться порезать арпы для сетей, которые используются. 3. В профиле определяется выборки по полям в пакете, которые содержат:offset1 - протокол, offset2 — первые два байта ip адреса, offset3 — вторые два байта ip адреса, offset4 — номер порта. 3.1. В правиле блокируется порт назначения 67 для протокола UDP. 3.2. В правиле блокируется порт назначения 68 для протокола UDP. 3.3. В правиле блокируется порт назначения 137 для протокола UDP. 3.4. В правиле блокируется порт назначения 138 для протокола UDP. 3.5. В правиле блокируется порт назначения 445. 3.6. В правиле блокируется порт назначения 1900 для протокола UDP. 3.7. В правиле блокируется порт назначения 53 для протокола TCP. 3.8. В правиле блокируется порт назначения 135 для протокола TCP. 3.9. В правиле блокируется порт назначения 139 для протокола TCP. 3.10. В правиле блокируется порт назначения 2869 для протокола TCP. 3.11. В правиле блокируется порт назначения 5000 для протокола TCP. .... 3.21. В правиле блокируется порт назначения 25. CLI: Profile: create access_profile packet_content_mask offset1 l3 8 0x00FF offset2 l3 16 0xFFFF offset3 l3 18 0xFFFF offset4 l4 2 0xFFFF profile_id 3 Rule: # Block DHCP Server config access_profile profile_id 3 add access_id 1 packet_content offset1 0x0011 offset4 0x0043 port 1 deny # Block DHCP Client config access_profile profile_id 3 add access_id 2 packet_content offset1 0x0011 offset4 0x0044 port 1 deny # Block NETBIOS Name Service (UDP 137) config access_profile profile_id 3 add access_id 3 packet_content offset1 0x0011 offset4 0x0089 port 1 deny # Block NETBIOS Datagram Service (UDP 138) config access_profile profile_id 3 add access_id 4 packet_content offset1 0x0011 offset4 0x008a port 1 deny # Block Microsoft-DS SMB file sharing (UDP 445) & Block Microsoft Naked CIFS,Microsoft-DS Active Directory, Windows shares (TCP 445) config access_profile profile_id 3 add access_id 5 packet_content offset4 0x01bd port 1 deny # Block SSDP Discovery (UDP 1900) config access_profile profile_id 3 add access_id 6 packet_content offset1 0x0011 offset4 0x076c port 1 deny # Block DNS Server Transfer Zone (TCP 53) config access_profile profile_id 3 add access_id 7 packet_content offset1 0x0006 offset4 0x0035 port 1 deny # Block Location Service (TCP 135) config access_profile profile_id 3 add access_id 8 packet_content offset1 0x0006 offset4 0x0087 port 1 deny # Block NETBIOS session service (TCP 139) config access_profile profile_id 3 add access_id 9 packet_content offset1 0x0006 offset4 0x008b port 1 deny # Block Microsoft Universal Plug&Play Discovery (TCP 2869) config access_profile profile_id 3 add access_id 10 packet_content offset1 0x0006 offset4 0x0b35 port 1 deny # Block Universal Plug and Play (TCP 5000) config access_profile profile_id 3 add access_id 11 packet_content offset1 0x0006 offset4 0x1388 port 1 deny .... # Block Other SMTP config access_profile profile_id 3 add access_id 21 packet_content offset1 0x0006 offset4 0x0019 port 1 deny Правила 3.12-3.20 доступ к внутренним ресурсам сети (ЛК), dns'ам, smtp и т.д. 4. В профиле определяются выборки по mac адресу назначения и источника и по неиспользуемому в правилах полю в пакете.4.1. В правиле разрешается доступ от mac адреса источники. В Flow Meter ограничивается поток. 4.2. В правиле разрешается доступ к mac адресу источники. В Flow Meter ограничивается поток. CLI: Profile: create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF source_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xFFFF profile_id 4 Rule: config access_profile profile_id 4 add access_id 1 packet_content source_mac 64-31-50-95-FA-F8 port 1 permit counter enable config flow_meter profile_id 4 access_id 1 rate 10240 rate_exceed drop_packet config access_profile profile_id 4 add access_id 2 packet_content destination_mac 64-31-50-95-FA-F8 port 10 permit counter enable config flow_meter profile_id 4 access_id 2 rate 10240 rate_exceed drop_packet 5. В профиле определяются выборки по mac адресу источника и по неиспользуемому в правилах полю в пакете.5.1. В правиле запрещается доступ с любым mac адресом источника. CLI: Profile: create access_profile packet_content_mask source_mac 00-00-00-00-00-00 offset1 l2 0 0xFFFF profile_id 5 Rule: config access_profile profile_id 5 add access_id 1 packet_content source_mac 00-00-00-00-00-00 offset1 0x0000 port 1 deny Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 13 апреля, 2012 (изменено) · Жалоба config access_profile profile_id 5 add access_id 1 packet_content source_mac 00-00-00-00-00-00 offset1 0x0000 port 1 deny это заблокирует любой трафик на 1 порту? п.с. для 3028 и 3526 синтаксис другой или там впринципе нельзя составить такие правила? Изменено 13 апреля, 2012 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpiderX Опубликовано 13 апреля, 2012 · Жалоба Да. п.с. для 3028 и 3526 синтаксис другой или там впринципе нельзя составить такие правила? Там не только синтаксис другой, там принципы построения ACL иные. Составить можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 13 апреля, 2012 (изменено) · Жалоба config access_profile profile_id 5 add access_id 1 packet_content source_mac 00-00-00-00-00-00 offset1 0x0000 port 1 deny более "глобально" нельзя порезать? то-есть это самое самое общее правило? p.s. acl которые вы привели, вы используете на своей сети или просто где-то взяли? Изменено 13 апреля, 2012 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 13 апреля, 2012 · Жалоба Наверняка у присутствующих на этом форуме людей есть уже готовые варианты, которые юзаются на собственной сети :) http://sources.homelink.ru/viewcvs/scripts-misc/msblock3526?root=routers_mgmt&rev=111&view=markup Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpiderX Опубликовано 13 апреля, 2012 · Жалоба более "глобально" нельзя порезать? то-есть это самое самое общее правило? Что значит более глобально? Можно пример? Каждый пакет имеет mac-адрес, в интересующем ACL ограничения накладываются по mac-адресу, т.е. на втором уровне. Если второй уровень это недостаточно "глобально", ну режьте на первом, патчкордом из порта :) p.s. acl которые вы привели, вы используете на своей сети или просто где-то взяли? Использую, нигде я их не брал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 14 апреля, 2012 · Жалоба служебные пакеты тоже не смогут проходить через это правило? stp например Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpiderX Опубликовано 15 апреля, 2012 · Жалоба служебные пакеты тоже не смогут проходить через это правило? И да, и нет. Они не пройдут дальше порта, но они придут на порт (так как ACL не влияют на коммутацию пакетов и практически весь функционал свитчей отрабатывает до пользовательских ACL), и следовательно все отработает так, как настроено. Так, если посмотреть на правило 3.1., видно, что пакеты к dhcp-серверу будут заблокированы, но так как используется dhcp relay, а он отрабатывает до ACL, то dhcp протокол работает без проблем. Тоже самое касается и LBD, пакет придет на порт - порт заблокируется. Поэтому использование ACL ни в коем случае не отменяет настройку других модулей в прошивке свитча, а лишь дополняет ее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 15 апреля, 2012 (изменено) · Жалоба в 3 блоке правил, у вас часть правил не показана можете показать 3 блок полностью? и еще такие вопросы: # Allow Vlan - если в этом привели не указать c_tag, то коммутатор будет пропускать только нетегированные пакеты на этом порту? Получается что лучше это правило ставить на аплинки, а на абонентов (т.к. влан на них идет антегом) тоже правило но без c_tag? # Block DHCP Server - может быть лучше воспользоваться функцией DHCP Server Screening? он еще и залогирует если увидит дхцп с левого порта. или эта функция работает немного по другому? # Block DHCP Client - это правило ты сделал потому-что используешь dhcp relay на 3200? Если у меня дхцп релэй настроен только в ядре сети (где терменируются вланы), а на доступе просто ip-mac-port binding (arp mode) без всяких дхцп снупингов, то мне это правило делать нельзя? # Block Other SMTP - это вы делаете зачем? Получается, что абонент не сможет нормально настроить смтп в почтовом клиенте если порт стандартный? (я так понимаю что предидущее правило разрешает смтп до сторого определенного вашего сервера?) Изменено 15 апреля, 2012 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 16 апреля, 2012 · Жалоба Block DHCP Server - может быть лучше воспользоваться функцией DHCP Server Screening? он еще и залогирует если увидит дхцп с левого порта.или эта функция работает немного по другому? Также она работает. Тоже создает ACL и все. Суть в том что настройки ACL должны быть последовательны, пакет попавший под правило N5 до правила N6 не дойдет. делая правила вручную можно добиться того чтобы правила отрабатывали в нужном порядке. Если вы используете готовые функции - у вас правила будут с минимальными номерами профилей. Для начала нужно определиться что требуется от правил, собственно что надо блочить и где, создать их и оттестировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dududulka Опубликовано 16 апреля, 2012 · Жалоба ну в 3526 правило действительно создается а в 3200 в ACL пусто Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 16 апреля, 2012 · Жалоба и в 3028 пусто, может там другой механизм? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpiderX Опубликовано 16 апреля, 2012 · Жалоба в 3 блоке правил, у вас часть правил не показанаможете показать 3 блок полностью? Там специфические настройки для моей сети - просто перечисление ip/сетей, куда клиенты должны иметь доступ без авторизации: # Allow 10.21.5.240config access_profile profile_id 3 add access_id 12 packet_content offset2 0x0a15 offset3 0x05f0 port 1 permit counter enable # Allow 80.91.169.4 config access_profile profile_id 3 add access_id 13 packet_content offset2 0x505b offset3 0xa904 port 1 permit counter enable # Allow 80.91.169.22/31 config access_profile profile_id 3 add access_id 14 packet_content offset2 0x505b offset3 0xa916 mask 0xFFFE port 1 permit counter enable # Allow 91.193.68.35 config access_profile profile_id 3 add access_id 15 packet_content offset2 0x5bc1 offset3 0x4423 port 1 permit counter enable # Allow 91.193.69.4/31 config access_profile profile_id 3 add access_id 16 packet_content offset2 0x5bc1 offset3 0x4504 mask 0xFFFE port 1 permit counter enable # Allow 91.193.69.22 config access_profile profile_id 3 add access_id 17 packet_content offset2 0x5bc1 offset3 0x4516 port 1 permit counter enable # Allow 217.117.65.234 config access_profile profile_id 3 add access_id 18 packet_content offset2 0xd975 offset3 0x41ea port 1 permit counter enable # Allow 91.227.52.0/24 config access_profile profile_id 3 add access_id 19 packet_content offset2 0x5be3 offset3 0x3400 mask 0xFF00 port 1 permit counter enable # Allow GTS SMTP config access_profile profile_id 3 add access_id 20 packet_content offset2 0x5bc1 offset3 0x4405 offset4 0x0019 port 1 permit counter enable # Allow Vlan - если в этом привели не указать c_tag, то коммутатор будет пропускать только нетегированные пакеты на этом порту? Коммутатор вообще все пакеты пропускать будет, так как у него не будет критерия по которому их пропускать. Получается что лучше это правило ставить на аплинки, а на абонентов (т.к. влан на них идет антегом) тоже правило но без c_tag? Нет, на аплинки на уровне доступа вообще лучше ставить всего по меньше, во избежания головной боли :) Это правило вообще лучше никогда не использовать. Мне оно нужно было только для клиентов, которые имеют подключения к сети как физ. и юр. лица. И им домой нужно было подать доступ к их офисным сетям, делалось просто через подачу тегированного трафика в порт. И вот чтобы с этим трафиком ничего не происходило на клиентском порту было создано правило, что если на порт приходит тегированный трафик с опеределенным VLANID просто пропускаем его и все. # Block DHCP Server - может быть лучше воспользоваться функцией DHCP Server Screening? он еще и залогирует если увидит дхцп с левого порта.или эта функция работает немного по другому? Лучше. Этот ACL аналог DHCP Server Screening, за исключением логов. Этот ACL и Screening друг друг не отменяют. DHCP Server Screening (я об этом уже писал) отрабатывает до пользовательских ACL, то есть логи/трапы от Screening'а — все это будет, а ACL я использую для подстраховки, так как в бета-прошивках Длинка возможно все :) # Block DHCP Client - это правило ты сделал потому-что используешь dhcp relay на 3200?Если у меня дхцп релэй настроен только в ядре сети (где терменируются вланы), а на доступе просто ip-mac-port binding (arp mode) без всяких дхцп снупингов, то мне это правило делать нельзя? Нет, это правило - лишняя перестраховка. С клиентских портов никакой трафик не должен уходить на порт назначения 68, поэтому и фильтруем, на всякий случай. Тебе нельзя использовать в первую очередь правило 2.7, а потом уже 3.1. # Block Other SMTP - это вы делаете зачем? Получается, что абонент не сможет нормально настроить смтп в почтовом клиенте если порт стандартный?(я так понимаю что предидущее правило разрешает смтп до сторого определенного вашего сервера?) Да. Да. ну в 3526 правило действительно создаетсяа в 3200 в ACL пусто и в 3028 пусто, может там другой механизм? Не на всех сериях эти правила видны пользователям, но это не значит, что их нет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 17 апреля, 2012 (изменено) · Жалоба в 4 блоке правил, мне необходимо будет создать правила с мак адресами шлюзов? Ну что-бы у абонентов вообще что-то работало :) Нет, это правило - лишняя перестраховка. С клиентских портов никакой трафик не должен уходить на порт назначения 68, поэтому и фильтруем, на всякий случай.Тебе нельзя использовать в первую очередь правило 2.7, а потом уже 3.1. по поводу 2.7 - мы блочим ип броадкаст и у нас отваливается дхцп верно? здесь http://dlink.ru/ru/faq/62/240.html в примере номер 3 говорится кокраз по этому поводу. create access_profile packet_content_mask offset_16-31 0x0 0x0 0x000000ff 0x0 offset_32-47 0x0 0x0000ffff 0x0 0x0 profile_id 1 config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x00000044 0x0 0x0 port 1 permit config access_profile profile_id 1 add access_id 2 packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x00000043 0x0 0x0 port 1 deny create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 2 config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 1 permit config access_profile profile_id 2 add access_id 2 ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1 deny Можешь это правило привести в тот вид, в котором правила у тебя? То-есть что-бы я всетаки смог заблокировать ип броадкаст, но что-бы работало дхцп. Изменено 17 апреля, 2012 пользователем mcdemon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpiderX Опубликовано 17 апреля, 2012 · Жалоба в 4 блоке правил, мне необходимо будет создать правила с мак адресами шлюзов? Если использовать конкретно мою модель ACL, то да. по поводу 2.7 - мы блочим ип броадкаст и у нас отваливается дхцп верно? Да. То-есть что-бы я всетаки смог заблокировать ип броадкаст, но что-бы работало дхцп Чтобы это сделать нужно правила работы dhcp поднять выше правила блокировки ip broadcast. Самое простое, что можно сделать в текущей модели, так это, пожалуй: 1. Удалить 2.7. 2. Вместо: # Block DHCP Serverconfig access_profile profile_id 3 add access_id 1 packet_content offset1 0x0011 offset4 0x0043 port 1 deny сделать: # Allow DHCP Serverconfig access_profile profile_id 3 add access_id 1 packet_content offset1 0x0011 offset4 0x0043 port 1 permit 3. Создать промежуточный профиль между 3 и 4, который станет новым 4, а старые 4 и 5 профили и правила сместить на единицу: create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xFFFF profile_id 4 и добавить старое правило из 2.7: config access_profile profile_id 4 add access_id 1 packet_content destination_mac FF-FF-FF-FF-FF-FF offset1 0x0800 port 1 deny Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 19 апреля, 2012 · Жалоба Подскажи еще такую вещь. Как сделать правило что-бы в управляющем влане разрешался весь трафик, то-есть не фильтровался ацл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
slavikeks Опубликовано 19 апреля, 2012 · Жалоба Здравствуйте. Подскажите пожалуйста возможно ли запретить левые pppoe серера, но чтобы свой работал, если возможно пожалуйста подскажите как. вот мои ацлы на текущий момент #блочим левые dhcp create access_profile ip udp src_port_mask 0xFFFF profile_id 1 config access_profile profile_id 1 add access_id auto_assign ip udp src_port 67 port 1-24 deny config access_profile profile_id 1 add access_id auto_assign ip udp src_port 68 port 1-24 permit create access_profile ip udp dst_port_mask 0xFFFF profile_id 2 config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 permit #блочим нетбиос create access_profile ip tcp dst_port_mask 0xFFFF profile_id 3 config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 135 port all deny config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 137 port all deny config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 138 port all deny config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 139 port all deny config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 445 port all deny config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 1900 port all deny config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 2869 port all deny config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 42 port all deny create access_profile ip udp dst_port_mask 0xFFFF profile_id 4 config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 135 port all deny config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 137 port all deny config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 138 port all deny config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 139 port all deny config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 445 port all deny config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 1900 port all deny config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 2869 port all deny config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 42 port all deny #разрешаем адреса только из нашей сети create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 0.0.0.0 profile_id 5 config access_profile profile_id 5 add access_id auto_assign ip source_ip 172.17.0.0 destination_ip 0.0.0.0 port 1-24 permit #блочим адреса не из нашей сети create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 6 config access_profile profile_id 6 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...