0 / 0 / 1
Регистрация: 15.11.2016
Сообщений: 57
|
|
1 | |
HP 2530 48G -управляющий коммутатор12.04.2017, 06:12. Показов 1865. Ответов 22
Метки нет (Все метки)
Разрешить узлам (192.168.0.2 и 192.168.0.3) доступ к сети через определенный порт к компьютеру (192.168.0.10) , возможно ли это ? Хочу разрешить конкретный узлам доступ к компьютеру через порт свича, через access list попробовал, назначил эту политику к порту не работает.
access list 1 permit host 192.168.0.2 192.168.0.10 access list 1 permit host 192.168.0.3 192.168.0.10 access list 1 deny any any interface ethernet 24 ip access group 1 in ?
0
|
12.04.2017, 06:12 | |
Ответы с готовыми решениями:
22
Срок службы (Коммутатор HP 1810-48G) HP 2530 48G -безопасноть,обеспечить доступ только двум ПК Интернет => Коммутатор => Цифровое телевидение. Подключение исключая коммутатор используя роутер Настройка Интернета через модем - коммутатор - коммутатор |
17 / 17 / 3
Регистрация: 21.12.2016
Сообщений: 105
|
|
12.04.2017, 09:06 | 2 |
Если 24й порт это порт до 192.168.0.10, то разрешаешь (в листах 192.168.0.10 можно заменить на any):
от 192.168.0.10 до 192.168.0.2 от 192.168.0.10 до 192.168.0.3 блокируешь: от 192.168.0.10 до any Ну и должно работать
0
|
0 / 0 / 1
Регистрация: 15.11.2016
Сообщений: 57
|
|
12.04.2017, 09:23 [ТС] | 3 |
Может напишешь в виде список доступа. Не понятно ! Спасибо
0
|
17 / 17 / 3
Регистрация: 21.12.2016
Сообщений: 105
|
|
12.04.2017, 09:34 | 4 |
Как-то так, судя по первому посту (HP у меня нет, в синтаксисе не уверен):
access list 1 permit any host 192.168.0.2 access list 1 permit any host 192.168.0.3 access list 1 deny any any
0
|
0 / 0 / 1
Регистрация: 15.11.2016
Сообщений: 57
|
|
12.04.2017, 12:01 [ТС] | 5 |
Спасибо, а если еще добавить в этой политики доступ к этим узлам по протоколам (например разрешить только удаленный доступ),
Добавлено через 18 минут т.е. добавить в этой политики доступ к этому узлу по протоколам (например разрешить только удаленный доступ двум узлам),
0
|
0 / 0 / 1
Регистрация: 15.11.2016
Сообщений: 57
|
|
14.04.2017, 11:00 [ТС] | 6 |
Привет Всем, почтовому серверу (находится на порту свича - 38) написал такую политику, но сервер перестает быть в сети, в чем проблема? вот то, что я написал:
access-list 102 permit tcp any any eq pop3 access-list 102 permit tcp any any eq smtp access-list 102 permit tcp any any eq http access-list 102 permit tcp any any eq dns access-list 102 deny tcp any any interface ethernet 38 ip access-group 102 in Спасибо, Добавлено через 1 час 50 минут дальше написав такую политику access-list 102 permit tcp any eq http any access-list 102 permit tcp any eq smtp any access-list 102 permit tcp any eq pop3 any access-list 102 permit tcp any eq 8080 any почтовый сервер работает, но отправить письма к другим серверам не получается, отправляет только между собой. в чем проблема ?
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
14.04.2017, 20:21 | 7 |
вот смотри, во-первых, правила в access-list'ах читаются сверху вниз, по порядку, в конце списка негласно добавляется deny ip any any.
во-вторых, сначала в правиле пишется адрес и порт источника, потом указывается адрес и порт назначения. в-третьих, когда access-list применяется на интерфейс с in - то это анализируется свитчем как входящий трафик в свитч на этот интерфейс (в данном случае интерфейс порта), когда access-list применяется на интерфейс с out - как исходящий с этого интерфейса свитча. подробно тут ________________________________________________________________________________ __________________________ если твой сервер выступает в роли почтового клиента, то он первым инициирует соединение и отправляет пакет на ip-адрес другого почтового сервера и порт 25 (общеизвестный) по протоколу tcp, а в качестве адреса источника указывает свой адрес и незанятый порт из диапазона динамических портов, я подчеркиваю, из диапазона динамических портов, который он запрашивает у системы. https://ru.wikibooks.org/wiki/TCP/IP https://ru.wikipedia.org/wiki/... %D0%B8_UDP то есть на порт свитча 38, где будет проверяться ACL, придет пакет с адресом источника IP1, портом источника >1024 (если на клиенте ОС Windows) на адрес назначения IP2 и порт назначения 25. а у тебя в правиле разрешены пакеты от порта источника только 80, 25, 110, 8080, соответственно твой пакет не попадет ни под одно разрешающее правило из: ________________________________________________________________________________ ___________________________ по листу: все с точностью до наоборот, сначала клиент отошлет пакет твоему серверу на порт назначения 25 с динамическим портом в качестве порта источника, этот пакет на порту свитча проверяться не будет (так как он out, а не in) и соответственно он дойдет до сервера, твой сервер отвечает клиенту и начинает отправлять пакет с порта источника 25 на динамический порт клиента (порт назначения), этот пакет попадет под access-list 102 deny tcp any any и дропнется. ________________________________________________________________________________ _______________________ Kimsanov, все ли понятно стало? попытался разжевать подробно, как работает пакетный файрволл, написал много, но надеюсь понятно.....
1
|
0 / 0 / 1
Регистрация: 15.11.2016
Сообщений: 57
|
|
17.04.2017, 13:28 [ТС] | 8 |
Спасибо, получилось добавил порт IMAP4
10 permit tcp 0.0.0.0 255.255.255.255 eq 80 0.0.0.0 255.255.255.255 20 permit tcp 0.0.0.0 255.255.255.255 eq 25 0.0.0.0 255.255.255.255 30 permit tcp 0.0.0.0 255.255.255.255 eq 585 0.0.0.0 255.255.255.255 40 permit tcp 0.0.0.0 255.255.255.255 eq 110 0.0.0.0 255.255.255.255 50 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
0
|
0 / 0 / 1
Регистрация: 15.11.2016
Сообщений: 57
|
|
20.04.2017, 06:56 [ТС] | 9 |
Ошибся нет не получилось ,
Добавлено через 2 минуты Дело в том, что может быть в этом заключается проблема на свиче когда прописываешь access list к порту - можео выбрать только - in , а вот - out отсутствует. Как быть ? Добавлено через 1 минуту Может быть просто закрыть не нужные порты для работоспособности сервера , а какие не знаю
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
23.04.2017, 01:09 | 10 |
Kimsanov, Kimsanov, что ты именно хочешь? поясни подробнее......
зайди в настройки какого-нибудь int и покажи вывод Код
ip access-group [номер_ACL] ?
0
|
0 / 0 / 1
Регистрация: 15.11.2016
Сообщений: 57
|
|
23.04.2017, 02:34 [ТС] | 11 |
S1(eth-4)# ip access-group 101
in Match inbound packets
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
23.04.2017, 11:31 | 12 |
Kimsanov, ну можно все и на in построить, задача какая? откуда, куда и что лочить? что куда подключено?
Не по теме: а может стоит и прошивку обновить? я просто этот свитч не крутил, но при отсутствии заявленных фич на enterprise свитчах huawei мне часто приходилось обновлять прошивку
0
|
0 / 0 / 1
Регистрация: 15.11.2016
Сообщений: 57
|
|
24.04.2017, 06:45 [ТС] | 13 |
Задача, есть почтовый сервер, который подключен к порту свича, разрешить ему только по соответствующими протоколами (POP3, smtp), другие закрыть. Политика то что сверху, почтовый сервер работал внутри сети, а на другие сервера (интернет) не мог отправлять почту. Вот и все.
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
24.04.2017, 08:02 | 14 |
на порт, к которому подключен сервер, повесить правило на in
Код
access-list 102 permit tcp host server_ip_address eq pop3 any access-list 102 permit tcp host server_ip_address eq smtp any access-list 102 deny ip any any
0
|
0 / 0 / 1
Регистрация: 15.11.2016
Сообщений: 57
|
|
24.04.2017, 08:34 [ТС] | 15 |
Такая же ситуация почта не выходит за пределом локалки. только между собой внешне не выходит .
Добавлено через 11 минут Может быть так как оно подключено в интернете, дать добавить доступ порту 80. достаточно ?
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
24.04.2017, 08:49 | 16 |
так ты объясни, этот внутренний сервер должен еще и сам к внешним серверам обращаться?
если так, то лист другой будет Код
access-list 102 permit tcp host server_ip_address eq pop3 any access-list 102 permit tcp host server_ip_address eq smtp any access-list 102 permit tcp host server_ip_address any eq pop3 access-list 102 permit tcp host server_ip_address any eq smtp access-list 102 deny ip any any
0
|
0 / 0 / 1
Регистрация: 15.11.2016
Сообщений: 57
|
|
24.04.2017, 09:35 [ТС] | 17 |
До этого отправлял письмо с аутлука (оно там настроена) была ошибка, а сейчас оно отправляется (например mail.ru) но исчезает (т.е. не доходит).
Добавлено через 31 минуту а может IMAP тоже разрешить ?
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
24.04.2017, 10:05 | 18 |
разреши.
POP3 - TCP 110 995 IMAP - TCP 143 993 SMTP - TCP 25 587 465 итого имеем: Код
access-list 102 permit tcp host server_ip_address eq 110 any access-list 102 permit tcp host server_ip_address eq 995 any access-list 102 permit tcp host server_ip_address eq 143 any access-list 102 permit tcp host server_ip_address eq 993 any access-list 102 permit tcp host server_ip_address eq 25 any access-list 102 permit tcp host server_ip_address eq 587 any access-list 102 permit tcp host server_ip_address eq 465 any access-list 102 permit tcp host server_ip_address any eq 110 access-list 102 permit tcp host server_ip_address any eq 995 access-list 102 permit tcp host server_ip_address any eq 143 access-list 102 permit tcp host server_ip_address any eq 993 access-list 102 permit tcp host server_ip_address any eq 25 access-list 102 permit tcp host server_ip_address any eq 587 access-list 102 permit tcp host server_ip_address any eq 465 access-list 102 deny ip any any и он как клиент ко всем внешним серверам по всем почтовым протоколам и портам доступ имеет.
0
|
0 / 0 / 1
Регистрация: 15.11.2016
Сообщений: 57
|
|
24.04.2017, 13:27 [ТС] | 19 |
Такая же ситуация - ко внешним серверам не обращается (может DNS добавить/разрешить)
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
24.04.2017, 14:28 | 20 |
если ты прописываешь адрес внешних серверов dns-именем, то конечно
Код
access-list 102 permit tcp host server_ip_address eq 110 any access-list 102 permit tcp host server_ip_address eq 995 any access-list 102 permit tcp host server_ip_address eq 143 any access-list 102 permit tcp host server_ip_address eq 993 any access-list 102 permit tcp host server_ip_address eq 25 any access-list 102 permit tcp host server_ip_address eq 587 any access-list 102 permit tcp host server_ip_address eq 465 any access-list 102 permit tcp host server_ip_address any eq 110 access-list 102 permit tcp host server_ip_address any eq 995 access-list 102 permit tcp host server_ip_address any eq 143 access-list 102 permit tcp host server_ip_address any eq 993 access-list 102 permit tcp host server_ip_address any eq 25 access-list 102 permit tcp host server_ip_address any eq 587 access-list 102 permit tcp host server_ip_address any eq 465 access-list 102 permit tcp host server_ip_address any eq 53 access-list 102 deny ip any any
0
|
24.04.2017, 14:28 | |
24.04.2017, 14:28 | |
Помогаю со студенческими работами здесь
20
Настройка коммутатора HP 1810-48g Доступ в вебуправление коммутатора HP 1920-48G Canon IR 2530 печатает со смещением Ноутбкук Fujitsu Siemens AMILO Pi 2530 Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |