[slavikeks]

Здравствуйте. До этого момента в сети стояли только 3200 старых ревизий и 3028 с ацлами для них всё понятно. Вот конфиг для 3200 A1/B1

 

#блочим левые dhcp

create access_profile ip udp src_port_mask 0xFFFF profile_id 1

config access_profile profile_id 1 add access_id auto_assign ip udp src_port 67 port 1-24 deny

config access_profile profile_id 1 add access_id auto_assign ip udp src_port 68 port 1-24 permit

create access_profile ip udp dst_port_mask 0xFFFF profile_id 2

config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny

config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 permit

 

#блочим нетбиус итд

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 3

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 135 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 137 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 138 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 139 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 445 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 1900 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 2869 port all deny

config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 42 port all deny

 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 4

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 135 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 137 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 138 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 139 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 445 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 1900 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 2869 port all deny

config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 42 port all deny

 

#разрешаем только нашу сеть

create access_profile ip source_ip_mask 255.255.254.0 destination_ip_mask 0.0.0.0 profile_id 5

config access_profile profile_id 5 add access_id auto_assign ip source_ip 10.10.0.0 destination_ip 0.0.0.0 port 1-24 permit

create access_profile ip source_ip_mask 255.255.240.0 destination_ip_mask 0.0.0.0 profile_id 6

config access_profile profile_id 6 add access_id auto_assign ip source_ip 172.17.0.0 destination_ip 0.0.0.0 port 1-24 permit

 

#разрешаем всё в мгм влане

create access_profile ip vlan profile_id 7

config access_profile profile_id 7 add access_id auto_assign ip vlan mgm port 19-26 permit

 

#блочим все остальные сети

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 8

config access_profile profile_id 8 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny

 

#блочим чужие пппое сервера

create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 9

config access_profile profile_id 9 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-24 deny

 

Если забиваю всё как есть то на 4м ацле сталкиваюсь с нехваткой ацлов.... понимаю, что нужно делать через PCF но не могу сформулировать конфиг. Подскажите пожалуйста

[passer]

У DES-3200 rev.C1 и DGS-3120 несколько иной подход к составлению acl.

 

Для начала вам бы на форум дебилинка и читать.

New_ACL.ppt