Элтекс

производство оборудования для телекоммуникаций
http://forum.eltex-co.ru/

Создание ACL на MES2324

http://forum.eltex-co.ru/viewtopic.php?f=10&t=8299

Страница 1 из 1

Создание ACL на MES2324

Добавлено: 12 май 2018 17:12
mihail_
Добрый день!

Подскажите, пожалуйста, как настроить блокировку SMB для всех хостов в подсети 192.168.6.0 при подключении из любой другой подсети. В данном случае подключение происходит из подсети 192.168.8.0
Создал acl, которая почему-то ничего не блокирует:

Код: Выделить всё

vlan database
 vlan 106-108
exit
!
ip access-list extended 123
 deny udp any any any netbios-ns ace-priority 20
 deny udp any any any netbios-dgm ace-priority 40
 deny tcp any any any 139 ace-priority 60
 deny tcp any any any 445 ace-priority 80
 permit ip any any any any ace-priority 100
exit
!
interface vlan 106
 ip address 192.168.6.1 255.255.255.224
 service-acl input 123
exit
!
interface vlan 108
 ip address 192.168.8.1 255.255.255.0
 ip dhcp relay enable
exit

Re: Создание ACL на MES2324

Добавлено: 14 май 2018 12:44
Евгений Т
Здравствуйте.

Правила
deny tcp any any any 139 ace-priority 60
deny tcp any any any 445 ace-priority 80
лучше заменить на
deny tcp any any 192.168.6.0 0.0.0.255 139 ace-priority 60
deny tcp any any 192.168.6.0 0.0.0.255 445 ace-priority 80

Создал acl, которая почему-то ничего не блокирует:

acl надо вешать или на физический порт, или на тот vlan, откуда пакет прилетает(int vlan 108). ACL работает для входящего трафика.

Re: Создание ACL на MES2324

Добавлено: 15 май 2018 17:21
mihail_
Спасибо!
Часовой пояс: UTC+07:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/