De acuerdo

ayudar a bloquear puertos entre clientes PPPoE.

Publicado 2020-10-20 14:22:22Última respuesta oct. 21, 2020 06:08:45 225 3 0 0 0
  Recompensa Goldies : 0 (solución de problemas)

Hola, tengo un NE20 operando como B.RAS para mi red donde mis suscriptores se conectan por PPPoE y reciben 2 prefijos ipv4 e ipv6, no tengo CGNAT en la red.

Logré bloquear los puertos de Internet (22,23,80,443) para mis suscriptores, aplicando la política de tráfico en la interfaz conectada a mi frontera. Sin embargo, no puedo bloquear entre suscriptores, por ejemplo, si el suscriptor A ingresa la dirección IP del suscriptor B, tiene acceso al CPE del cliente a través del puerto 80.

¿Alguien podría ayudarme a bloquear la puerta entre suscriptores? Por supuesto, permita algunos y bloquee otros.


Gracias.


  • x
  • convención:

Respuestas destacadas

Mejor respuesta

Respuesta recomendada

LuizPuppin
VIP Publicado 2020-10-20 15:01:44
Você pode fazer uma ACLpra dar match no conteúdo

acl name PPPoE
rule deny tcp source 192.168.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 destination-port 80
rule permit ip any

traffic classifier c_PPPoE
if-match acl PPPoE

Traffic behavior permit

traffic policy p_PPPoE
classifier c_PPPoE behavior b_PPPoE

traffic-policy p_PPPoE global inbound
Ver más
  • x
  • convención:

Todas las respuestas
LuizPuppin
LuizPuppin VIP Publicado 2020-10-20 14:29:00

Olá querido amigo @Osni_Silva. Estou elaborando a resposta pra vc. Já envio.

Ver más
  • x
  • convención:

LuizPuppin
LuizPuppin VIP Publicado 2020-10-20 15:01:44
Você pode fazer uma ACLpra dar match no conteúdo

acl name PPPoE
rule deny tcp source 192.168.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 destination-port 80
rule permit ip any

traffic classifier c_PPPoE
if-match acl PPPoE

Traffic behavior permit

traffic policy p_PPPoE
classifier c_PPPoE behavior b_PPPoE

traffic-policy p_PPPoE global inbound
Ver más
  • x
  • convención:

Osni_Silva
Osni_Silva Publicado 2020-10-21 06:08:45
@LuizPuppin consegui fazer o drop dos ip´s que eu precisei, porem incrementei mais algumas coisas.
veja:

Obs.
Rede de gerencia do noc: 200.200.1.0 0.0.0.15
Prefixo dos meus AP´s: 10.10.96.0 0.0.31.255
Prefixo A dos Clientes: 200.200.0.0 0.0.15.255
Prefixo B dos Clientes: 200.200.132.0 0.0.3.255


1. Criei uma acl de port-pool para listar as postas que quero bloquer para que clientes não acessem meus ap´s e não acessem outro clientes nas postas listadas no port-pool.
#
acl port-pool bloqueio_porta_clientes
eq 22
eq 80
eq 443
#

2. Criei uma acl advance primeiro permitindo que a rede de gerencia do NOC acesse os AP´s e clientes e que os clientes acessem a rede do NOC (pois também é onde estão nosso servidores).
Depois e bloquiei os prefixo A para não acessarem o prefixo B e nem o B acessar o prefixo A
#
acl name PPPoE advance
rule 10 permit tcp source 200.200.1.0 0.0.0.15 destination 10.10.96.0 0.0.31.255 destination-port-pool bloqueio_porta_clientes
rule 20 permit tcp source 200.200.1.0 0.0.0.15 destination 200.200.0.0 0.0.15.255 destination-port-pool bloqueio_porta_clientes
rule 30 permit tcp source 200.200.1.0 0.0.0.15 destination 200.200.132.0 0.0.3.255 destination-port-pool bloqueio_porta_clientes
rule 40 permit tcp source 200.200.132.0 0.0.3.255 destination 200.200.1.0 0.0.0.15 destination-port-pool bloqueio_porta_clientes
rule 50 permit tcp source 200.200.0.0 0.0.15.255 destination 200.200.1.0 0.0.0.15 destination-port-pool bloqueio_porta_clientes
rule 200 deny tcp source 200.200.132.0 0.0.3.255 destination 10.10.96.0 0.0.31.255 destination-port-pool bloqueio_porta_clientes
rule 210 deny tcp source 200.200.132.0 0.0.3.255 destination 200.200.0.0 0.0.15.255 destination-port-pool bloqueio_porta_clientes
rule 220 deny tcp source 200.200.132.0 0.0.3.255 destination 200.200.132.0 0.0.3.255 destination-port-pool bloqueio_porta_clientes
rule 230 deny tcp source 200.200.0.0 0.0.15.255 destination 10.10.96.0 0.0.31.255 destination-port-pool bloqueio_porta_clientes
rule 240 deny tcp source 200.200.0.0 0.0.15.255 destination 200.200.0.0 0.0.15.255 destination-port-pool bloqueio_porta_clientes
rule 250 deny tcp source 200.200.0.0 0.0.15.255 destination 200.200.132.0 0.0.3.255 destination-port-pool bloqueio_porta_clientes
rule 500 permit tcp
#

3.Criei um traffic classifier para dar match na acl PPPoE
#
traffic classifier c_PPPoE operator or
if-match acl name PPPoE
#

4. Criei um behavior dando deny e permit.
#
traffic behavior deny
deny
#
traffic behavior permit
#

5. Crie uma policy
#
traffic policy p_PPPoE
share-mode
classifier c_PPPoE behavior permit precedence 1
#

6. Apliquei a policy no traffic policy inbound global do router NE20.
#
traffic-policy p_PPPoE inbound global-acl
#
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.