lousx Опубликовано 23 мая, 2012 (изменено) · Жалоба Начал настраивать des 3028 Firmware Version : Build 2.90.B09 config arp_spoofing_prevention add gateway_ip 10.0.0.1 gateway_mac BC-30-5B-DB-9C-FD ports 1-24 create access_profile ip tcp dst_port_mask 0xFFFF profile_id 4 config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 135 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 137 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 138 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 369 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 445 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 593 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 1900 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 2869 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 5000 port 1-24 deny На команду config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 593 port 1-24 deny свитч начал ругаться на отсутсвие памяти для правила, хотя через веб интерфейс показывает доступных порядка 150. Память действительно закончилась? А как же привязка каждого клиента ip_port? Как же приоритезация IPTV трафа по dscp? Люди пишут что все это делают, а я уже в начале пути остался без памяти? Как решить проблему? Изменено 23 мая, 2012 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 23 мая, 2012 (изменено) · Жалоба Посмотрел: config arp_spoofing_prevention add gateway_ip 10.0.0.1 gateway_mac BC-30-5B-DB-9C-FD ports 1-24 Заняло порядка 95 правил, тем не менее свитч пишет что свободно еще около 150. Выход мне видится один - отказаться от arp_spoofing_prevention. Но не наступлю ли я при привязке клиентов на те же грабли, но когда уже будет поздно? Изменено 23 мая, 2012 пользователем lousx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Demiurgos Опубликовано 23 мая, 2012 (изменено) · Жалоба Насколько я помню, у 3028 максимум 255 правил. Каждая ваша строчка содержащая "port 1-24 deny" создаёт 24 правила. Для экономии можно использовать "port all deny" оно занимает только одно правило. Поэтому, если уж вы запрещаете нетбиосы и прочее на клиентских портах, то "экономичней" вначале прописать разрешающие правила там где нужно это пропускать а в конце запретить на всех портах. К примеру, указанным ниже способом ацл, запрещающее 139 порт на клиентских портах займёт 5 правил вместо ваших 24: create access_profile ip tcp dst_port_mask 0xFFFF profile_id 4 config access_profile profile_id 4 add access_id 10 ip tcp dst_port 135 port 25-28 permit config access_profile profile_id 4 add access_id 100 ip tcp dst_port 135 port all dany Ну и ещё можно сократить количество этих правил, если подумать а зачем разрешать на "транзитных" портах 139 тсп порт, если он запрещён на клиентских? Изменено 23 мая, 2012 пользователем Demiurgos Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lousx Опубликовано 23 мая, 2012 · Жалоба Demiurgos, красавчик. Спасибо. Попробую таким образом. Но как быть с arp_spoofing_prevention? Он создает сразу 95 правил. Да и смущает то, что свитч показывает еще 150 свободных правил, а при попытке создать еще одно ругается на отсутствие памяти. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...