lousx Posted May 23, 2012 Posted May 23, 2012 (edited) Начал настраивать des 3028 Firmware Version : Build 2.90.B09 config arp_spoofing_prevention add gateway_ip 10.0.0.1 gateway_mac BC-30-5B-DB-9C-FD ports 1-24 create access_profile ip tcp dst_port_mask 0xFFFF profile_id 4 config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 135 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 137 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 138 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 369 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 445 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 593 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 1900 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 2869 port 1-24 deny config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 5000 port 1-24 deny На команду config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 593 port 1-24 deny свитч начал ругаться на отсутсвие памяти для правила, хотя через веб интерфейс показывает доступных порядка 150. Память действительно закончилась? А как же привязка каждого клиента ip_port? Как же приоритезация IPTV трафа по dscp? Люди пишут что все это делают, а я уже в начале пути остался без памяти? Как решить проблему? Edited May 23, 2012 by lousx Вставить ник Quote
lousx Posted May 23, 2012 Author Posted May 23, 2012 (edited) Посмотрел: config arp_spoofing_prevention add gateway_ip 10.0.0.1 gateway_mac BC-30-5B-DB-9C-FD ports 1-24 Заняло порядка 95 правил, тем не менее свитч пишет что свободно еще около 150. Выход мне видится один - отказаться от arp_spoofing_prevention. Но не наступлю ли я при привязке клиентов на те же грабли, но когда уже будет поздно? Edited May 23, 2012 by lousx Вставить ник Quote
Demiurgos Posted May 23, 2012 Posted May 23, 2012 (edited) Насколько я помню, у 3028 максимум 255 правил. Каждая ваша строчка содержащая "port 1-24 deny" создаёт 24 правила. Для экономии можно использовать "port all deny" оно занимает только одно правило. Поэтому, если уж вы запрещаете нетбиосы и прочее на клиентских портах, то "экономичней" вначале прописать разрешающие правила там где нужно это пропускать а в конце запретить на всех портах. К примеру, указанным ниже способом ацл, запрещающее 139 порт на клиентских портах займёт 5 правил вместо ваших 24: create access_profile ip tcp dst_port_mask 0xFFFF profile_id 4 config access_profile profile_id 4 add access_id 10 ip tcp dst_port 135 port 25-28 permit config access_profile profile_id 4 add access_id 100 ip tcp dst_port 135 port all dany Ну и ещё можно сократить количество этих правил, если подумать а зачем разрешать на "транзитных" портах 139 тсп порт, если он запрещён на клиентских? Edited May 23, 2012 by Demiurgos Вставить ник Quote
lousx Posted May 23, 2012 Author Posted May 23, 2012 Demiurgos, красавчик. Спасибо. Попробую таким образом. Но как быть с arp_spoofing_prevention? Он создает сразу 95 правил. Да и смущает то, что свитч показывает еще 150 свободных правил, а при попытке создать еще одно ругается на отсутствие памяти. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.