Ламерский вопрос про группу адресов через маски

Проясните, пожалуйста, а то что-то никак не пойму в чем дело
Требуется:
1 закрыть входящий TCP броадкаст
2 открыть входящий ICMP от компьютеров х.х.х.254

Соответственно, пишу через довольно странные маски

1 Block and log TCP In From IP Any to IP in 10.10.10.255/0.0.0.255 where … any … any
2 Allow and log ICMP In From IP Any to IP in 10.10.10.254/0.0.0.255 where … any … any

Первое правило работает, а второе нет :-[

запрет броадкаста - запрет на 10.10.10.255/255.255.255.255
аналогично ICMP 10.10.10.254/255.255.255.255, хотя смысл? проще конкретный IP задать. что равносильно.
вообще 255.255.255.255 (/32) применяется для идентификации конкретного хоста.
При учёте .255 как броадкаста (верно в основном для x.y.z.0/24 сетей) то его тоже надо блокировать как “хост”

хм, у меня кроме броадкаста 10.10.10.255 еще все время идет 255.255.255.255 откуда ни попадя,
и обработка по маске 10.10.10.255/0.0.0.255 успешно отбрасывает и тот и другой

а насчет второго то понятно, что можно задать “свой 254й” но все-таки хотелось бы все “254е” разрешить - это шлюзы нашей сети.

понимаю, что маска как-бы неправильная, но вроде вполне логичная тем не менее

m.sco, фаер при такой записи по идее должен блокировать все адреса, заканчивающиеся на 255, а не только 10.10.10.255 и 255.255.255.255. Так что существует риск того, что заблочатся легитимные адреса.
Лучше создать группу адресов и туда вписать броадкаст подсети и 255.255.255.255 и эту группу использовать в данном правиле.

А во втором правиле перепутаны источник и получатель, поэтому оно и не работает: источник должен быть - шлюзы, а получатель - любой адрес (ну или адрес конкретного компа, на котором прописываются эти правила).

разве может легитимный адрес заканчиваться на 255?
хотя… в логе появляется время от времени строка:

Windows Operating System	Blocked	10.10.10.255	255.255.255.255	protocol 139

правда не знаю, что это за трафик такой

да, действительно, облажался.
Ну все равно уже задал группы Broadcast и Gateway, так что можно больше не извращаться.

Спасибо, господа!

Конечно может. Вот тут подробнее об этом - Бесклассовая адресация — Википедия
Т.е. по простому говоря, не всегда адрес броадкаста заканчивается на 255 и не обязательно, что адрес, заканчивающийся на 255, является броадкастовым.

хотя.. в логе появляется время от времени строка:
Windows Operating System	Blocked	10.10.10.255	255.255.255.255	protocol 139

правда не знаю, что это за трафик такой

Это NetBIOS (общий доступ к сетевым папкам).

Я вообще этот NetBIOS удалил с видовса ;D , не безопасное это дело ;D

Можно просто отключить эти службы. Плюс закрытие портов. И ничего удалять не нужно. )

поглядел по ссылочке, не нашел там ничего о том, что х.х.х.255 может быть адресом хоста
насколько понимаю, все адреса, у которых в адресе биты хоста единичные - это заведомо броадкаст

насчет netbios тоже не соглашусь, пожалуй - нетбиос использует TCP и UDP, а не непонятный протокол139. Да и адрес источника там обычно вполне обычный, а не х.х.х.255

поправьте п-ста, если не так

m.sco

насколько понимаю, все адреса, у которых в адресе биты хоста единичные - это заведомо броадкаст
Верно. Но не нужно забывать о маске подсети для этого адреса: именно их совокупность (адрес+маска) определяет какой броадкастовый адрес у этой подсети. Например, у сети 192.168.0.0/255.255.255.252 броадкастовым адресом будет 192.168.0.3. Т.е. адрес не на 255 заканчивается, а броадкастовый. С другой стороны у моего провайдера есть один из серверов, у которого IP 85.21.0.255. И это не броадкаст, потому что маска у него 255.255.255.255. Ещё пример: возьмём сеть 10.0.0.0/255.0.0.0. Какой у неё броадкастовый адрес ? Может это 10.1.1.255 ? А может 10.121.255.255 ? Ведь у них на конце 255. Нет, это простые IP. Они могут быть присвоены в данной сети отдельному ПК. А броадкастовым адресом для сети 10.0.0.0/255.0.0.0 будет только IP 10.255.255.255. Вот ещё ссылки по маске/броадкасту: [url=http://www.codeart.ru/2008/05/04/maska-podseti-vy-uvereny-chto-ponimaete-dlya-chego-ona-nuzhna/]1[/url], [url=http://support.microsoft.com/kb/164015/ru]2[/url]...
насчет netbios тоже не соглашусь, пожалуй - нетбиос использует TCP и UDP, а не непонятный протокол139. Да и адрес источника там обычно вполне обычный, а не х.х.х.255
Да, он это вроде бы. Вот так отображается просто (это netbios session). Хотя есть протокол HIP - Host Identity Protocol - http://www.iana.org/assignments/protocol-numbers/ http://www.ietf.org/rfc/rfc5201.txt - слишком много буковок там и всё по-английски. ;D Одно НО: по RFC этот протокол определён в апреле 2008г., а вот срабатывания у меня были задолго до этого (ещё в аутпосте). Так что это скорее всего именно NetBIOS так определяется.

по второй ссылке написано, что двоичные адреса с составляющей узла из одних единиц и нолей недопустимы ;D
затейник, однако, Ваш провайдер! никак не пойму, зачем такое надо
первую ссылку уже видел, хотя с тех пор комментариев интересных там прибавилось
про hip не знал, спасибо

Про нули и единицы - всё верно. Ведь в моём примере 85.21.0.255/255.255.255.255 узловой части нет вообще, а не нулям или единицам там всё равно.

Всё равно в ссылках не до конца всё написано. Ну не нашёл я нормальных ссылок ;D
В курсе CCNA Discovery хорошо про это написано… может ещё в какой-нить книжке нормально объяснили.

А провайдер - не затейник. Это стандартная ситуация, когда реальный внешний IP с маской 255.255.255.255. Вот я сейчас под таким сижу в интернете.