В этой статье я приведу несколько примеров блокировки IP адресов, MAC адресов, DHCP пакетов от DHCP серверов и т.д
Пример блокировки MAC адреса (рекомендую блокировать по MAC адресу, а не IP, так как если блокировать по IP адресу, то в момент первого подключения клиенты обычно подключаются с IP адресом 0.0.0.0, а потом получают IP адрес по DHCP, то есть сессия клиента будет подниматься и падать через timeout):
create access_profile profile_id 1 profile_name tank34 ethernet source_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 1 add access_id 1 ethernet source_mac E8-9A-8F-BB-F8-44 vlan_based vlan_id 226 deny
config access_profile profile_id 1 add access_id auto_assign ethernet source_mac F8-1A-67-FE-E7-00 port 1:24 deny
config access_profile profile_id 1 add access_id auto_assign ethernet source_mac F8-1A-67-FE-E7-00 vlan_based vlan_id 226 deny
Запрет Netbios и Windows sharing (для udp аналогично):
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 15
config access_profile profile_id 15 add access_id 15 ip tcp dst_port 135 port 1-24 deny
config access_profile profile_id 15 add access_id 16 ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 15 add access_id 17 ip tcp dst_port 445 port 1-24 deny
От сторонних DHCP серверов можно защитится через ACL (но если поддерживается функция DHCP Server Screening, то лучше через нее):
create access_profile ip udp src_port 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny
# DGS-3100
create access_profile profile_id 5 ip udp src_port_mask ffff
config access_profile profile_id 5 add access_id 1 ip udp src_port 67 ports 1:9 permit
config access_profile profile_id 5 add access_id 2 ip udp src_port 67 ports 1:1-1:8,1:10-1:24 deny
# DGS-3120
create access_profile profile_id 5 profile_name 67dhcp ip udp src_port_mask 0xffff
config access_profile profile_id 5 add access_id 1 ip udp src_port 67 port 1:9 permit
config access_profile profile_id 5 add access_id 2 ip udp src_port 67 port 1:1-1:8, 1:10-1:24 deny
Запрет всего широковещательного трафика, замечу что в этом случае пользователи не смогут получать IP-адреса по DHCP (но будут работать только прописанные вручную IP):
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 7
config access_profile profile_id 7 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny
Разрешаем прохождения трафика через коммутатор только для одного IP и блокируем для всех остальных:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.1.1 port 5 permit
create access_profile ip source_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 5 deny
Смотрите также мою статью:
Блокировка multicast ip адресов на коммутаторах D-Link