triam Posted December 12, 2014 · Report post Всем привет! Подскажите пожалуйста, а лучше покажите примеры конфигов для edge-core, huawei, qtech, dlink, что вы фильтруете на уровне доступа. Особенно интересует как справляетесь с unknown unicast'ом и multicast'ом. Вот список того, что пока мне приходит в голову на тему фильтрации на доступе: 1) NetBios 2) PPPoE PADO (левые серваки PPPoE) 3) Левые серваки DHCP 4) Попытки объявить себя igmp querier'ом Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted December 12, 2014 · Report post Это, батенька, наглость. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sexst Posted December 12, 2014 · Report post Ну почему наглость? Нормальная практика обмена опытом. Мультикаст ОТ абонента полезно накрыть еще. Rate-limit на броадкаст и unknown unicast повесить. А так вы все классическое перечислили. Сверху свое специфичное по вкусу можно докинуть. Особенно интересует как справляетесь с unknown unicast'ом и multicast'ом. Мультикаст вообще вырезать нафиг на абонентских портах по ip диапазону. Оставить только IGMP в нужных группах если IPTV гоняете. Для unknown unicast почти у всех есть специальная команда. У того же длинка, например, config traffic control. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snark Posted December 19, 2014 · Report post Нормальная практика обмена опытом. Тут этого обмена опытом можно не напрягаясь несколько тем найти с массой примеров под конкретное железо. Если уж сильно нужено, то вот пример закрытия портов указанных в Объединение в сеть домашних компьютеров, работающих под управлением разных версий Windows create access_profile ip tcp dst_port 0xffff profile_id 2 config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 139 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 445 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 2869 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 3587 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 5357 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 5358 port 1-28 deny create access_profile ip udp dst_port 0xffff profile_id 2 config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 permit config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 1900 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 3540 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 3702 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 5355 port 1-28 deny Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Дегтярев Илья Posted December 20, 2014 · Report post Красивая acl для цисок. В последнем правиле прописать раздаваемые адреса, в примере все 10.x.y.0/24 подсетки. permit udp any any eq 67 deny ip any 224.0.0.0 31.255.255.255 deny ip any 10.0.0.255 0.255.255.0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...