Jump to content
Калькуляторы

DES-3028 No enough room for this rule!

Начал настраивать des 3028 Firmware Version : Build 2.90.B09

 


config arp_spoofing_prevention add gateway_ip 10.0.0.1 gateway_mac BC-30-5B-DB-9C-FD ports 1-24

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 135 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 137 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 138 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 369 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 445 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 593 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 1900 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 2869 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 5000  port 1-24 deny

 

На команду config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 593 port 1-24 deny свитч начал ругаться на отсутсвие памяти для правила, хотя через веб интерфейс показывает доступных порядка 150.

 

Память действительно закончилась? А как же привязка каждого клиента ip_port? Как же приоритезация IPTV трафа по dscp?

Люди пишут что все это делают, а я уже в начале пути остался без памяти? Как решить проблему?

Edited by lousx

Share this post


Link to post
Share on other sites

Посмотрел:

config arp_spoofing_prevention add gateway_ip 10.0.0.1 gateway_mac BC-30-5B-DB-9C-FD ports 1-24

Заняло порядка 95 правил, тем не менее свитч пишет что свободно еще около 150.

 

Выход мне видится один - отказаться от arp_spoofing_prevention. Но не наступлю ли я при привязке клиентов на те же грабли, но когда уже будет поздно?

Edited by lousx

Share this post


Link to post
Share on other sites

Насколько я помню, у 3028 максимум 255 правил. Каждая ваша строчка содержащая "port 1-24 deny" создаёт 24 правила.

Для экономии можно использовать "port all deny" оно занимает только одно правило.

 

Поэтому, если уж вы запрещаете нетбиосы и прочее на клиентских портах, то "экономичней" вначале прописать разрешающие правила там где нужно это пропускать а в конце запретить на всех портах. К примеру, указанным ниже способом ацл, запрещающее 139 порт на клиентских портах займёт 5 правил вместо ваших 24:

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id 10 ip tcp dst_port 135 port 25-28 permit
config access_profile profile_id 4 add access_id 100 ip tcp dst_port 135 port all dany

 

Ну и ещё можно сократить количество этих правил, если подумать а зачем разрешать на "транзитных" портах 139 тсп порт, если он запрещён на клиентских?

Edited by Demiurgos

Share this post


Link to post
Share on other sites

Demiurgos, красавчик. Спасибо. Попробую таким образом.

Но как быть с arp_spoofing_prevention? Он создает сразу 95 правил.

Да и смущает то, что свитч показывает еще 150 свободных правил, а при попытке создать еще одно ругается на отсутствие памяти.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this