[rozix]

ACL (собирал в кучу с разных форумов)

Может еще чего добавить?

 

// - ACL

 

delete access_profile all

 

// - Deny Multicast traffic

create cpu access_profile ip destination_ip_mask 240.0.0.0 profile_id 1

config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1-28 deny

enable cpu_interface_filtering

 

// — Deny broadcasts

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 2

config access_profile profile_id 2 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 1-28 permit

config access_profile profile_id 2 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800 port 1-28 deny

 

// - ICMP

create access_profile ip source_ip_mask 255.255.240.0 destination_ip_mask 255.255.255.255 icmp profile_id 3

config access_profile profile_id 3 add access_id auto_assign ip source_ip 172.30.0.0 destination_ip 255.255.255.255 icmp port 1-28 deny

 

// - Deny DHCP

create access_profile ip udp src_port_mask 0xFFFF profile_id 4

config access_profile profile_id 4 add access_id auto_assign ip udp src_port 67 port 1-28 deny

config access_profile profile_id 4 add access_id auto_assign ip udp src_port 68 port 1-28 permit

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 5

config access_profile profile_id 5 add access_id auto_assign ip udp dst_port 68 port 1-28 deny

config access_profile profile_id 5 add access_id auto_assign ip udp dst_port 67 port 1-28 permit

 

// - Deny netbios

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 6

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 137 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 138 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 139 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 445 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 1900 port 1-28 deny

config access_profile profile_id 6 add access_id auto_assign ip tcp dst_port 2869 port 1-28 deny

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 7

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 135 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 137 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 138 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 139 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 445 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 1900 port 1-28 deny

config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 2869 port 1-28 deny

 

// — Deny IPv6 EtherType

create access_profile ethernet ethernet_type profile_id 8

config access_profile profile_id 8 add access_id auto_assign ethernet ethernet_type 0x86dd port 1-28 deny

 

// — Deny all

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9

config access_profile profile_id 9 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-28 deny

Edited October 30, 2012 by rozix

[pppoetest]

Девятый профиль перекрывает восьмой, а вообще подобных тем на наге сам видел не менее 3-х штук =)

 

У винды семерки появился хоме каталог, мы его тоже поблочили

Edited October 30, 2012 by pppoetest

[rozix]

Кто может помочь перелопатить эти правила под des-3200-28 c1

[pppoetest]

На офф сайте есть ман для составления правил под "си" версию

Edited October 30, 2012 by pppoetest

[rozix]

Спасибо, но там походу какая-то неразбериха с этой версией