Перейти до

Настройка acl на Dlink

Melanxolik

Автор: Melanxolik,
в Для людей

 Share Подписчики 0

Рекомендованные сообщения

Melanxolik

Melanxolik 63

Опубликовано:
Опубликовано:

Собственно задача для кого-то банальная, но для меня пока еще остается с вопросами.

Из-за того что приходится отказываться от ip port snoop binding, нужно нарисовать как это разруливается через acl

 

как это видится сейчас:

 

create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.1 port 1 permit
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.2 port 2 permit
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.3 port 3 permit
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.4 port 4 permit
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.5 port 5 permit
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.6 port 6 permit
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.7 port 7 permit
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.8 port 8 permit

 

 

дальше вроде как:

 

# Настройте запрещающее правило для всех остальных IP-адресов

create access_profile ip source_ip_mask 0.0.0.0 profile_id 20

config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 5 deny

 

 

Но тут вопрос, как из правильно прописать и как обеспечить корректность прохождения dhcp запросов на uplink порты от клиентов.

Помогите плиз, а то голова с утра не варит и кофе закончилось.

Ссылка на сообщение
Поделиться на других сайтах
hellion

hellion 4

Опубліковано:
Опубліковано:

option 82 не использую, не скажу поможет ли она, а acl у меня на всех длинках настроен. работает 100%, левие дхсп не пропускает, только те что с аплинка приходят принимает.

Ссылка на сообщение
Поделиться на других сайтах
Melanxolik

Melanxolik 63

Опубліковано:
  • Автор
Опубліковано:

Возникла трабла, с клиентского порта походу валят адреса внутренней сети, как можно отдельно прослушать что приходит с клиентского порта если все клиентские порты находятся в одном общем vlan в пределах одного свича.

 

неужели только выделять порт в отдельный vlan и тащить на сервер чтобы там сделать ему tcpdump?

Ссылка на сообщение
Поделиться на других сайтах
hellion

hellion 4

Опубліковано:
Опубліковано:

это когда на с интерфейса клиента к тебе приходят не то что 192. а в обще 10.0

я же ссылку дал как запретить средствами ацл, левые дхсп...

Ссылка на сообщение
Поделиться на других сайтах
Melanxolik

Melanxolik 63

Опубліковано:
  • Автор
Опубліковано:

да при чем здесь именно dhcp? клиент не сервер свой выставил в сеть провайдера, клиент пытается под левым каким-то ip вылезти в сеть.

Ссылка на сообщение
Поделиться на других сайтах
hellion

hellion 4

Опубліковано:
Опубліковано:

да при чем здесь именно dhcp? клиент не сервер свой выставил в сеть провайдера, клиент пытается под левым каким-то ip вылезти в сеть.

тогда IP-MAC-Port Binding используйте. тоже работает. лично проверено.

Ссылка на сообщение
Поделиться на других сайтах
QI_Can9

QI_Can9 3

Опубліковано:
Опубліковано:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 10

config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.1 port 1 permit

 

это правело разрешает только этот айпи на только этот порт.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...