[lousx]

Начал настраивать des 3028 Firmware Version : Build 2.90.B09

 

config arp_spoofing_prevention add gateway_ip 10.0.0.1 gateway_mac BC-30-5B-DB-9C-FD ports 1-24

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 135 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 137 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 138 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 369 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 445 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 593 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 1900 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 2869 port 1-24 deny
config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 5000  port 1-24 deny

 

На команду config access_profile profile_id 4 add access_id auto_assign ip tcp dst_port 593 port 1-24 deny свитч начал ругаться на отсутсвие памяти для правила, хотя через веб интерфейс показывает доступных порядка 150.

 

Память действительно закончилась? А как же привязка каждого клиента ip_port? Как же приоритезация IPTV трафа по dscp?

Люди пишут что все это делают, а я уже в начале пути остался без памяти? Как решить проблему?

Изменено 23 мая, 2012 пользователем lousx

[lousx]

Посмотрел:

config arp_spoofing_prevention add gateway_ip 10.0.0.1 gateway_mac BC-30-5B-DB-9C-FD ports 1-24

Заняло порядка 95 правил, тем не менее свитч пишет что свободно еще около 150.

 

Выход мне видится один - отказаться от arp_spoofing_prevention. Но не наступлю ли я при привязке клиентов на те же грабли, но когда уже будет поздно?

Изменено 23 мая, 2012 пользователем lousx

[Demiurgos]

Насколько я помню, у 3028 максимум 255 правил. Каждая ваша строчка содержащая "port 1-24 deny" создаёт 24 правила.

Для экономии можно использовать "port all deny" оно занимает только одно правило.

 

Поэтому, если уж вы запрещаете нетбиосы и прочее на клиентских портах, то "экономичней" вначале прописать разрешающие правила там где нужно это пропускать а в конце запретить на всех портах. К примеру, указанным ниже способом ацл, запрещающее 139 порт на клиентских портах займёт 5 правил вместо ваших 24:

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id 10 ip tcp dst_port 135 port 25-28 permit
config access_profile profile_id 4 add access_id 100 ip tcp dst_port 135 port all dany

 

Ну и ещё можно сократить количество этих правил, если подумать а зачем разрешать на "транзитных" портах 139 тсп порт, если он запрещён на клиентских?

Изменено 23 мая, 2012 пользователем Demiurgos

[lousx]

Demiurgos, красавчик. Спасибо. Попробую таким образом.

Но как быть с arp_spoofing_prevention? Он создает сразу 95 правил.

Да и смущает то, что свитч показывает еще 150 свободных правил, а при попытке создать еще одно ругается на отсутствие памяти.