- пакет проверяется на входе в коммутатор при необходимости маршрутизации пакета в другой vlan. Без перехода между vlan-ами фильтрация IP не происходит
- Проверка выполняется по набору правил (ACL), привязанному к тому vlan (в ACL Binding (VLAN)), из которого пришел пакет.
- маска подсети, указываемая в ACE, обратная, т.е. полное совпадение адреса — 0.0.0.0, сеть категории С — 0.0.0.255
- чтобы запретить входящее соединение TCP надо сделать одно из правил:
- запретить TCP при Source IP = закрываемому адресу/подсети при установленных флагах SYN и ACK (как-то кривовато)
- запретить на всех vlan-ax TCP при Dest IP = закрываемому адресу/подсети при установленном флаге SYN
- Порты TCP:
- 135 — RPC
- 139 — netbios
- 1025 — windows firewall (alg.exe)
- 5354 — Bonjour
- 5900 — VNC
- UDP не имеет признаков установления соединения, поэтому можно ориентироваться только по портам dest.
- 123-ntp
- 137-139-netbios
- 445-microsoft-ds
- 500 — isakmp (lsas.exe)
- 1025-1028 — Apple
- 1900 — UPnP
- 4500 — lsas.exe
- 5353 — Bonjour
- чтобы применить один ACL к толпе vlan-ов можно попробовать использовать группы QOS (не пробовал)
- Можно попробовать для каждой из защищаемых сетей делать один ACL общий для всех исходящих VLANов, и персональные ACL для разрешения взаимодействия по конкретным направлениям. В списке ACL Binding (VLAN) разрешающие надо ставить перед запрещающими.