Foros del web, para los que viven de bits

Rowan · 19-mar-2007, 11:19

Hola!
Estoy intentando capar el trafico de salida de un puerto de un switch 3com 5500.
Para ello utilizo ACL y packet-filtering pero no consigo que funcione. Creo que hay algun concepto que no entiendo bien. No tengo problema con esto
añado en la acl la siguiente regla
rule 2 deny ip destination xxx.xxx.xxx.xxx 0
y en la interface que quiero capar
packet-filter inbound ip-group 3000 rule 2
//
Esto me funciona el problema es que asi capo la entrada a esa interface y lo que yo quiero es capar la salida, utilizando outbound en lugar de inbound no funciona y hay mi gran dilema.
Si alguien tiene una idea...
Gracias.
Rowan

dogduck · 19-mar-2007, 13:18

http://www.huawei-3com.com/portal/Te...370_1285_0.htm

...
ejemplo

Cita:

acl number 3000
rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule 1 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.30.100 0.0.0.255
rule 2 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.40.100 0.0.0.255

acl number 3001
rule 0 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule 1 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 2 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255

Vlan 10
packet-filter inbound ip-group 3000 rule 0
packet-filter inbound ip-group 3000 rule 1
packet-filter inbound ip-group 3000 rule 2

Vlan 20
packet-filter inbound ip-group 3001 rule 0
packet-filter inbound ip-group 3001 rule 1
packet-filter inbound ip-group 3001 rule 2

Vlan 30

Vlan 40

salu2

Rowan · 20-mar-2007, 01:55

Gracias,

aunque suelo preguntar al señor google antes de en un foro.jeje
ya habia encontrado ese ejemplo, aparte de las instrucciones del switch que tengo entre manos y no es solucion para mi problema. Lo que necesito es, creo, una aclaracion de conceptos. como:

destination
source
inbound
outbound

ya que no hacen lo que yo pensaba, o los utilizo mal.

De todas formas, se agradece el detalle.

Rowan.

dogduck · 20-mar-2007, 12:07

source = fuente u origen
destination = destino
inbound = entrante
outbound = saliente
...
acl number 3000
define una acl con el identificador 3000

rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
se define la regla 0, la regla 0 deniega el tráfico de paquetes desde la red de origen 192.168.10.0/24 o con mascara 255.255.255.0 (0.0.0.255 es una wildmask) a la red de destino 192.168.20.0/24

Vlan 10

En la Vlan 10 define las reglas a aplicar

packet-filter inbound ip-group 3000 rule 0

es decir que para cualquier interface de el switch perteneciente a la vlan10, todo el tráfico entrante (desde el punto de vista de el interface/switch) se le aplica la regla 0 de el la acl 3000

¿Podrias explicar que y que tipo de tráfico y de donde a donde deseas capar?

salu2

Rowan · 21-mar-2007, 01:35

Hola
Bien, segun lo que dices los conceptos son lo que yo pensaba y lo que no entiendo es porque no funciona. El tipo de trafico es una señal multicast una imagen de videocamara (234.252.21.0) esto seria el source es lo que quiero prohibir que salga de un puerto en concreto, por ejemplo el 1. Los pasos que he definido y no funcionan son:
acl 3000
rule 2 deny ip source 234.252.21.0 ////////definir la acl

interface ethernet1/0/1 packet-filter outbound ip-group 3000 rule 0 //capar el puerto

Tengo la sospecha de que es por que es multicast, y tendre que configurar algo en los grupos. Si consigo algo informo.

Gracias.

Rowan · 21-mar-2007, 01:37

rule 2 deny ip source 234.252.21.0 0
se me ha olvidado la mascara arriba esto es lo que pongo, con el ultimo 0

dogduck · 21-mar-2007, 12:42

¿Por que no pruebas a usar la wildmask 0.0.0.255 y defines el destino como la superred (es decir todos los destinos)?

rule 2 deny ip source 234.252.21.0 0.0.0.255 destination 0.0.0.0 0.0.0.0

salu2

Rowan · 22-mar-2007, 04:13

Hola

No me sirve lo que me dices, porque en el mismo grupo multicast tengo mas de una camara y entonces cortaria la señal de todas y no quiero eso. Y con el destino parecido tengo muchas teles y solo quiero capar la que recibe la señal del pueto 1(por ejemplo), como tu dices caparia todas las que reciben señal dentro de ese dominio.

De todas formas he conseguido algo, en vez de utilizar el packet-filter, he utilizado reglas igmp, para gestionar los grupos multicast, lo malo es que asi tengo que hacer un acl por regla pero bueno funciona y es lo que queria.
Aunque me sigue picando la curiosidad...jejej. Pero cuando el tiempo aprieta...

Muchas Gracias,

Rowan.

misterioxo · 31-jul-2007, 17:20

hola a mi me pasa algo parecido, he creado mis acl pero el problema que tengo es a la hora de asiganarlas, veo que ustedes las asignan en las VLAN ,pero cuando entro a la Vlan no tengo el comando packet-filter, intente entrando a la interface Vlan pero tampoco, solo me aparece cuando entro a la interface de un puerto, lo q tampoco me aparece x ningun lado es el parametro otubound.

Tengo 2 swiths 5500 GEI y SI me gustaria que me ayuden diciendome q version tienen de software o cual seria mi problema, gracias de antemano

yogui801 · 04-ene-2008, 09:52

Buen día,

desde dias anteriores estoy tratando de configurar una cal para lo siguiente:

1. deseo que una vlan solo vea la vlan por default
2. que las demas vlans no vean esta vlan

No se si a alguno le ha pasado esto?...agradezco su ayuda.

yogui801 · 04-ene-2008, 09:54

Cita:

Iniciado por yogui801

Buen día,

desde dias anteriores estoy tratando de configurar una acl para lo siguiente:

1. deseo que una vlan solo vea la vlan por default
2. que las demas vlans no vean esta vlan

No se si a alguno le ha pasado esto?...agradezco su ayuda.

Tengo switch 3com 5500

caostr · 08-abr-2008, 13:49

Cita:

Iniciado por yogui801

Tengo switch 3com 5500

Hola yo tengo el mismo problema
no puedo aplicar las ACls segun como dice el manual
agradeceria el que lo pudo resolver si me puede hechar una mano
gracias

19-mar-2007, 11:19	#1 (permalink)
Rowan Fecha de Ingreso: junio-2004 Mensajes: 32	configurar acl Hola! Estoy intentando capar el trafico de salida de un puerto de un switch 3com 5500. Para ello utilizo ACL y packet-filtering pero no consigo que funcione. Creo que hay algun concepto que no entiendo bien. No tengo problema con esto añado en la acl la siguiente regla rule 2 deny ip destination xxx.xxx.xxx.xxx 0 y en la interface que quiero capar packet-filter inbound ip-group 3000 rule 2 // Esto me funciona el problema es que asi capo la entrada a esa interface y lo que yo quiero es capar la salida, utilizando outbound en lugar de inbound no funciona y hay mi gran dilema. Si alguien tiene una idea... Gracias. Rowan

19-mar-2007, 13:18	#2 (permalink)
dogduck Fecha de Ingreso: enero-2006 Ubicación: ¿Atlantida, Hesperides, Islas afortunadas? Mensajes: 1.933	Re: configurar acl http://www.huawei-3com.com/portal/Te...370_1285_0.htm ... ejemplo Cita: acl number 3000 rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 1 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.30.100 0.0.0.255 rule 2 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.40.100 0.0.0.255 acl number 3001 rule 0 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 1 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 2 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 Vlan 10 packet-filter inbound ip-group 3000 rule 0 packet-filter inbound ip-group 3000 rule 1 packet-filter inbound ip-group 3000 rule 2 Vlan 20 packet-filter inbound ip-group 3001 rule 0 packet-filter inbound ip-group 3001 rule 1 packet-filter inbound ip-group 3001 rule 2 Vlan 30 Vlan 40 salu2 __________________ http://javcasta.es

20-mar-2007, 01:55	#3 (permalink)
Rowan Fecha de Ingreso: junio-2004 Mensajes: 32	Re: configurar acl Gracias, aunque suelo preguntar al señor google antes de en un foro.jeje ya habia encontrado ese ejemplo, aparte de las instrucciones del switch que tengo entre manos y no es solucion para mi problema. Lo que necesito es, creo, una aclaracion de conceptos. como: destination source inbound outbound ya que no hacen lo que yo pensaba, o los utilizo mal. De todas formas, se agradece el detalle. Rowan.

20-mar-2007, 12:07	#4 (permalink)
dogduck Fecha de Ingreso: enero-2006 Ubicación: ¿Atlantida, Hesperides, Islas afortunadas? Mensajes: 1.933	Re: configurar acl source = fuente u origen destination = destino inbound = entrante outbound = saliente ... acl number 3000 define una acl con el identificador 3000 rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 se define la regla 0, la regla 0 deniega el tráfico de paquetes desde la red de origen 192.168.10.0/24 o con mascara 255.255.255.0 (0.0.0.255 es una wildmask) a la red de destino 192.168.20.0/24 Vlan 10 En la Vlan 10 define las reglas a aplicar packet-filter inbound ip-group 3000 rule 0 es decir que para cualquier interface de el switch perteneciente a la vlan10, todo el tráfico entrante (desde el punto de vista de el interface/switch) se le aplica la regla 0 de el la acl 3000 ¿Podrias explicar que y que tipo de tráfico y de donde a donde deseas capar? salu2 __________________ http://javcasta.es

21-mar-2007, 01:35	#5 (permalink)
Rowan Fecha de Ingreso: junio-2004 Mensajes: 32	Re: configurar acl Hola Bien, segun lo que dices los conceptos son lo que yo pensaba y lo que no entiendo es porque no funciona. El tipo de trafico es una señal multicast una imagen de videocamara (234.252.21.0) esto seria el source es lo que quiero prohibir que salga de un puerto en concreto, por ejemplo el 1. Los pasos que he definido y no funcionan son: acl 3000 rule 2 deny ip source 234.252.21.0 ////////definir la acl interface ethernet1/0/1 packet-filter outbound ip-group 3000 rule 0 //capar el puerto Tengo la sospecha de que es por que es multicast, y tendre que configurar algo en los grupos. Si consigo algo informo. Gracias.

21-mar-2007, 01:37	#6 (permalink)
Rowan Fecha de Ingreso: junio-2004 Mensajes: 32	Re: configurar acl rule 2 deny ip source 234.252.21.0 0 se me ha olvidado la mascara arriba esto es lo que pongo, con el ultimo 0

21-mar-2007, 12:42	#7 (permalink)
dogduck Fecha de Ingreso: enero-2006 Ubicación: ¿Atlantida, Hesperides, Islas afortunadas? Mensajes: 1.933	Re: configurar acl ¿Por que no pruebas a usar la wildmask 0.0.0.255 y defines el destino como la superred (es decir todos los destinos)? rule 2 deny ip source 234.252.21.0 0.0.0.255 destination 0.0.0.0 0.0.0.0 salu2 __________________ http://javcasta.es

22-mar-2007, 04:13	#8 (permalink)
Rowan Fecha de Ingreso: junio-2004 Mensajes: 32	Re: configurar acl Hola No me sirve lo que me dices, porque en el mismo grupo multicast tengo mas de una camara y entonces cortaria la señal de todas y no quiero eso. Y con el destino parecido tengo muchas teles y solo quiero capar la que recibe la señal del pueto 1(por ejemplo), como tu dices caparia todas las que reciben señal dentro de ese dominio. De todas formas he conseguido algo, en vez de utilizar el packet-filter, he utilizado reglas igmp, para gestionar los grupos multicast, lo malo es que asi tengo que hacer un acl por regla pero bueno funciona y es lo que queria. Aunque me sigue picando la curiosidad...jejej. Pero cuando el tiempo aprieta... Muchas Gracias, Rowan.

31-jul-2007, 17:20	#9 (permalink)
misterioxo Fecha de Ingreso: julio-2007 Mensajes: 1	Re: configurar acl hola a mi me pasa algo parecido, he creado mis acl pero el problema que tengo es a la hora de asiganarlas, veo que ustedes las asignan en las VLAN ,pero cuando entro a la Vlan no tengo el comando packet-filter, intente entrando a la interface Vlan pero tampoco, solo me aparece cuando entro a la interface de un puerto, lo q tampoco me aparece x ningun lado es el parametro otubound. Tengo 2 swiths 5500 GEI y SI me gustaria que me ayuden diciendome q version tienen de software o cual seria mi problema, gracias de antemano

04-ene-2008, 09:52	#10 (permalink)
yogui801 Fecha de Ingreso: octubre-2006 Mensajes: 2	Re: configurar acl Buen día, desde dias anteriores estoy tratando de configurar una cal para lo siguiente: 1. deseo que una vlan solo vea la vlan por default 2. que las demas vlans no vean esta vlan No se si a alguno le ha pasado esto?...agradezco su ayuda.

04-ene-2008, 09:54	#11 (permalink)
yogui801 Fecha de Ingreso: octubre-2006 Mensajes: 2	Re: configurar acl Cita: Iniciado por yogui801 Buen día, desde dias anteriores estoy tratando de configurar una acl para lo siguiente: 1. deseo que una vlan solo vea la vlan por default 2. que las demas vlans no vean esta vlan No se si a alguno le ha pasado esto?...agradezco su ayuda. Tengo switch 3com 5500

08-abr-2008, 13:49	#12 (permalink)
caostr Fecha de Ingreso: abril-2008 Mensajes: 2	Re: configurar acl Cita: Iniciado por yogui801 Tengo switch 3com 5500 Hola yo tengo el mismo problema no puedo aplicar las ACls segun como dice el manual agradeceria el que lo pudo resolver si me puede hechar una mano gracias

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado