triam Posted December 12, 2014 Всем привет! Подскажите пожалуйста, а лучше покажите примеры конфигов для edge-core, huawei, qtech, dlink, что вы фильтруете на уровне доступа. Особенно интересует как справляетесь с unknown unicast'ом и multicast'ом. Вот список того, что пока мне приходит в голову на тему фильтрации на доступе: 1) NetBios 2) PPPoE PADO (левые серваки PPPoE) 3) Левые серваки DHCP 4) Попытки объявить себя igmp querier'ом Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted December 12, 2014 Это, батенька, наглость. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sexst Posted December 12, 2014 Ну почему наглость? Нормальная практика обмена опытом. Мультикаст ОТ абонента полезно накрыть еще. Rate-limit на броадкаст и unknown unicast повесить. А так вы все классическое перечислили. Сверху свое специфичное по вкусу можно докинуть. Особенно интересует как справляетесь с unknown unicast'ом и multicast'ом. Мультикаст вообще вырезать нафиг на абонентских портах по ip диапазону. Оставить только IGMP в нужных группах если IPTV гоняете. Для unknown unicast почти у всех есть специальная команда. У того же длинка, например, config traffic control. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snark Posted December 19, 2014 Нормальная практика обмена опытом. Тут этого обмена опытом можно не напрягаясь несколько тем найти с массой примеров под конкретное железо. Если уж сильно нужено, то вот пример закрытия портов указанных в Объединение в сеть домашних компьютеров, работающих под управлением разных версий Windows create access_profile ip tcp dst_port 0xffff profile_id 2 config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 139 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 445 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 2869 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 3587 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 5357 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 5358 port 1-28 deny create access_profile ip udp dst_port 0xffff profile_id 2 config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 permit config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 1900 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 3540 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 3702 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 5355 port 1-28 deny Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Дегтярев Илья Posted December 20, 2014 Красивая acl для цисок. В последнем правиле прописать раздаваемые адреса, в примере все 10.x.y.0/24 подсетки. permit udp any any eq 67 deny ip any 224.0.0.0 31.255.255.255 deny ip any 10.0.0.255 0.255.255.0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...