Как можно в МСЭ разрешить/запретить диапазон портов какого-либо протокола?

[vadimbn]

Правила МСЭ, как я понимаю, работают сверху вниз. Применяется первое правило, соответствующее пакету, остальные правила после этого не проходятся, правильно?

Допустим нужно разрешить прохождения пакетов UDP с диапазоном 4000-4015, остальные UDP-порты запретить. Если задать три таких правила:

permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port gt 3999
permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port lt 4016
deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

то второе правило не будет работать никогда. Эта конструкция равносильна приказу "открыть все порты UDP, начиная с 4000". Так ли это? Можно ли вообще в текущей реализации МСЭ разрешать/запрещать диапазоны портов UDP/TCP?

Edited July 16, 2016 by vadimbn

[MDP]

deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port lt 4000
deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port gt 4015

а так?

Edited July 16, 2016 by MDP

[vadimbn]

Хе... Так да, будет работать, спасибо. Но с одним диапазоном. А если чуть усложнить задачу, сделать два диапазона? Допустим, надо разрешить только порты UDP 4000-4015 и UDP 6040-6070?

Если делать две ваши конструкции, одну над другой, верхняя всегда будет перекрывать нижнюю.

Можно первым делом разрешить 4000 - 6070. Но как из него вырезать кусок 4015 - 6040?

 

Edited July 16, 2016 by vadimbn

[MDP]

deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port lt 4000
deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port gt 6070

permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port lt 4015
permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port gt 6040

deny udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 

наверное так...

Но согласен, извращенство то ещё. 

[vadimbn]

Создал предложение новой возможности "диапазон портов"