Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   D-link DES-3052 Настройка портов (http://forum.oszone.net/showthread.php?t=243350)

Ier0nim 25-09-2012 13:39 1994481
D-link DES-3052 Настройка портов
 
Добрый день. Есть управляемый коммутатор DES-3052 который раздает интернет. Необходимо отключить в сети избирательно(по IP или по порту коммутатора) интернет и оставить локальную сеть. Прошу помощи в решении данной проблемы.

ejik_off 26-09-2012 11:33 1995012
Насколько мне известно, для данной задачи коммутатор на подходит, для этого нужен маршрутизатор.

Tonny_Bennet 26-09-2012 12:58 1995061
Цитата:
Цитата Ier0nim
коммутатор DES-3052 который раздает интернет »
А вы не могли бы более полно описать как подключены компьютеры и как к вам канал интернет приходит? Куда что подключено? Если не сложно изобразите пожалуйста в виде схемы с адресами.

Цитата:
Цитата ejik_off
Насколько мне известно, для данной задачи коммутатор на подходит, для этого нужен маршрутизатор. »
Здесь нельзя не согласится.

Ier0nim 27-09-2012 11:46 1995518
Ну настроить на нем это можно точно, т.к. есть ACL. Как что подключено:
На 52-ой порт приходит инет с сервера, он же файл-сервер. К другим портам соответственно подключены юзеры. Надо некоторым товарищам обрезать инет и оставить локалку

Tonny_Bennet 27-09-2012 11:58 1995523
Нашёл на сайте D-Link в описании этого коммутатора:
Списки управления доступом
(макс. 256 профилей / правил)
Многоуровневые ACL на основе:
Номера порта
VLAN ID
Приоритета 802.1p
МАС-адреса
IPv4
DSCP
Типа протокола
Номера порта TCP/UDP
Содержимого пакета
Времени

Эмулятор этого устройства в интернете найти не получилось.

Попробуйте создать ACL, в котором разрешены пакеты с адресом назначения равным вашей локальной сети, а все остальные запрещены. Примените его к определённому порту. Получится, что клиенты этого порта смогут обращаться только к локальной сети, а в интернет доступа не будет.

Ier0nim 27-09-2012 12:04 1995527
у меня ума хватило закрыть только 80-ый порт.
Вот нашел пример подобной ситуации

# Правило 1: Разрешить для .1 - .63 доступ в Internet
create access_profile ip source_ip_mask 255.255.255.192 destination_ip_mask 0.0.0.0 profile_id 10
config access_profile profile_id 10 add access_id auto_assign ip source_ip 192.168.1.0 destination_ip 0.0.0.0 port 1-24 permit

# Правило 2: Разрешить для .1 - .254 доступ в Intranet(локальную сеть)
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 20
config access_profile profile_id 20 add access_id auto_assign ip source_ip 192.168.1.0 destination_ip 192.168.1.0 port 1-24 permit

# Правило 3: Все остальное запретить
create access_profile ip source_ip_mask 0.0.0.0 profile_id 30
config access_profile profile_id 30 add access_id auto_assign ip source_ip 0.0.0.0 port 1-24 deny
помогите подогнать под мою ситуацию. Почти все понятно. не вижу где указано что интернет открыт именно для портов 1-63

Ier0nim 27-09-2012 15:46 1995627
Спасибо. сделал все по аналогии с привиденным мной примером. все гуд)))


Время: 02:10.

Время: 02:10.
© OSzone.net 2001-