forum.opennet.ru - "Ограничить злодея по маку" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Ограничить злодея по маку"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Ограничить злодея по маку"
Сообщение от max90 on 20-Июл-07, 11:57
Доброго времени суток! Уважаемые гуру, подскажите, потому как опыт настройки cisco сравнительно небольшой. Обнаружил зловредителя в сети, хочу ограничить его по mac-адресу. Пишу.. c2960(config)#mac access-list extended test c2960(config-ext-macl)#deny host 0016.e665.2bcb any c2960(config-ext-macl)#exit c2960(config)#int fa0/17 c2960(config-if)#mac access-group test in c2960(config-if)#exit Все работает, но при условии что у нарушителя пустая arp таблица, если ли же в арп таблице присутствует статическая или динамическая запись то нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ? Как отключить по маку, что бы наверника :) Буду весьма благодарен. Спасибо!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Ограничить злодея по маку, sz, 12:17 , 20-Июл-07, (1)

Ограничить злодея по маку, Andrew, 22:53 , 23-Июл-07, (4)

Ограничить злодея по маку, vgray, 07:17 , 23-Июл-07, (2)

Ограничить злодея по маку, max90, 22:21 , 23-Июл-07, (3)

Ограничить злодея по маку, fenix2, 01:47 , 25-Июл-07, (5)

Ограничить злодея по маку, fenix2, 01:47 , 25-Июл-07, (6)
Ограничить злодея по маку, max90, 11:20 , 26-Июл-07, (8)

Ограничить злодея по маку, SergTel, 17:31 , 25-Июл-07, (7)

Ограничить злодея по маку, max90, 11:22 , 26-Июл-07, (9)

Ограничить злодея по маку, fenix2, 16:36 , 26-Июл-07, (10)

Сообщения по теме [Сортировка по времени, UBB]

1. "Ограничить злодея по маку"

Сообщение от sz on 20-Июл-07, 12:17

>[оверквотинг удален]
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>Как отключить по маку, что бы наверника :)
>Буду весьма благодарен. Спасибо!
Использовать port-security?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Ограничить злодея по маку"

Сообщение от Andrew (??) on 23-Июл-07, 22:53

>>Как отключить по маку, что бы наверника :)
>Использовать port-security?
не поможет. Порт секурити сработает еслик этому порту будет подключено устройство с дрйгим маком. Варианты возможных действий можно выбрать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Ограничить злодея по маку"

Сообщение от vgray (??) on 23-Июл-07, 07:17

>[оверквотинг удален]
>c2960(config)#mac access-list extended test
>c2960(config-ext-macl)#deny host 0016.e665.2bcb any
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
из документации
On Layer 2 interfaces, you can filter IP traffic by using IP access lists and non-IP traffic by using MAC access lists. You can filter both IP and non-IP traffic on the same Layer 2 interface by applying both an IP ACL and a MAC ACL to the interface. You can apply no more than one IP access list and one MAC access list to the same Layer 2 interface.
ключевое слово non-IP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Ограничить злодея по маку"

Сообщение от max90 on 23-Июл-07, 22:21

>[оверквотинг удален]
>
>On Layer 2 interfaces, you can filter IP traffic by using IP
>access lists and non-IP traffic by using MAC access lists. You
>can filter both IP and non-IP traffic on the same Layer
>2 interface by applying both an IP ACL and a MAC
>ACL to the interface. You can apply no more than one
>IP access list and one MAC access list to the same
>Layer 2 interface.
>
>ключевое слово non-IP
Насколько я знаю, IP - Layer3, MAC-Address(Ethernet) - Layer2, второй уровень это естественно не IP.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Ограничить злодея по маку"

Сообщение от fenix2 (??) on 25-Июл-07, 01:47

>[оверквотинг удален]
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>Как отключить по маку, что бы наверника :)
>Буду весьма благодарен. Спасибо!
попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая последняя строчка "deny any any" и попинговать не сам свич, а что то за ним.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Ограничить злодея по маку"

Сообщение от fenix2 (??) on 25-Июл-07, 01:47

>[оверквотинг удален]
>>
>>Все работает, но при условии что у нарушителя пустая arp таблица, если
>>ли же в арп таблице присутствует статическая или динамическая запись то
>>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>>Как отключить по маку, что бы наверника :)
>>Буду весьма благодарен. Спасибо!
>
>попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая
>последняя строчка "deny any any" и попинговать не сам свич, а
>что то за ним.
и не забывай что mac тоже мона поменять =)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Ограничить злодея по маку"

Сообщение от max90 on 26-Июл-07, 11:20

>[оверквотинг удален]
>>
>>Все работает, но при условии что у нарушителя пустая arp таблица, если
>>ли же в арп таблице присутствует статическая или динамическая запись то
>>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>>Как отключить по маку, что бы наверника :)
>>Буду весьма благодарен. Спасибо!
>
>попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая
>последняя строчка "deny any any" и попинговать не сам свич, а
>что то за ним.
deny any any, дописывал, эффект тот же, пингую конечно не сам свич.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Ограничить злодея по маку"

Сообщение от SergTel on 25-Июл-07, 17:31

>[оверквотинг удален]
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>Как отключить по маку, что бы наверника :)
>Буду весьма благодарен. Спасибо!
данный хост подключен к киске или простому хабу? если к киске то порт засшутить, если к хабу то ACL mac- и мониторить порт на возможную смену mac-

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Ограничить злодея по маку"

Сообщение от max90 on 26-Июл-07, 11:22

>[оверквотинг удален]
>>
>>Все работает, но при условии что у нарушителя пустая arp таблица, если
>>ли же в арп таблице присутствует статическая или динамическая запись то
>>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>>Как отключить по маку, что бы наверника :)
>>Буду весьма благодарен. Спасибо!
>
>данный хост подключен к киске или простому хабу? если к киске то
>порт засшутить, если к хабу то ACL mac- и мониторить порт
>на возможную смену mac-
если бы к циске напряму был подключен порт в shutdown положил бы и делов то.., местные еще не знаю что мак можно менять :)
Вообщем загадка, до сих пор не разобрался :((

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Ограничить злодея по маку"

Сообщение от fenix2 (ok) on 26-Июл-07, 16:36

>Вообщем загадка, до сих пор не разобрался :((
попробуй еще vlan access-map
Switch(config)#mac access-list extended deny_bad
Switch(config-ext-nacl)#permit host 0000.861f.3745 host any [да, тут permit]
Switch(config-ext-nacl)#permit any any
Switch(config-ext-nacl)#end
Switch(config)#vlan access-map block_bad 10
Switch (config-access-map)#action drop
Switch (config-access-map)#match mac address deny_bad
Switch(config)#vlan access-map block_arp 20
Switch (config-access-map)#action forward
Switch(config)#vlan filter block_bad vlan-list 1 [или какой там влан]

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Ограничить злодея по маку"
Сообщение от sz on 20-Июл-07, 12:17
>[оверквотинг удален] >c2960(config-ext-macl)#exit >c2960(config)#int fa0/17 >c2960(config-if)#mac access-group test in >c2960(config-if)#exit > >Все работает, но при условии что у нарушителя пустая arp таблица, если >ли же в арп таблице присутствует статическая или динамическая запись то >нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ? >Как отключить по маку, что бы наверника :) >Буду весьма благодарен. Спасибо! Использовать port-security?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Ограничить злодея по маку"
	Сообщение от Andrew (??) on 23-Июл-07, 22:53
	>>Как отключить по маку, что бы наверника :) >Использовать port-security? не поможет. Порт секурити сработает еслик этому порту будет подключено устройство с дрйгим маком. Варианты возможных действий можно выбрать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Ограничить злодея по маку"
Сообщение от vgray (??) on 23-Июл-07, 07:17
>[оверквотинг удален] >c2960(config)#mac access-list extended test >c2960(config-ext-macl)#deny host 0016.e665.2bcb any >c2960(config-ext-macl)#exit >c2960(config)#int fa0/17 >c2960(config-if)#mac access-group test in >c2960(config-if)#exit > >Все работает, но при условии что у нарушителя пустая arp таблица, если >ли же в арп таблице присутствует статическая или динамическая запись то >нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ? из документации On Layer 2 interfaces, you can filter IP traffic by using IP access lists and non-IP traffic by using MAC access lists. You can filter both IP and non-IP traffic on the same Layer 2 interface by applying both an IP ACL and a MAC ACL to the interface. You can apply no more than one IP access list and one MAC access list to the same Layer 2 interface. ключевое слово non-IP
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Ограничить злодея по маку"
	Сообщение от max90 on 23-Июл-07, 22:21
	>[оверквотинг удален] > >On Layer 2 interfaces, you can filter IP traffic by using IP >access lists and non-IP traffic by using MAC access lists. You >can filter both IP and non-IP traffic on the same Layer >2 interface by applying both an IP ACL and a MAC >ACL to the interface. You can apply no more than one >IP access list and one MAC access list to the same >Layer 2 interface. > >ключевое слово non-IP Насколько я знаю, IP - Layer3, MAC-Address(Ethernet) - Layer2, второй уровень это естественно не IP.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Ограничить злодея по маку"
Сообщение от fenix2 (??) on 25-Июл-07, 01:47
>[оверквотинг удален] >c2960(config-ext-macl)#exit >c2960(config)#int fa0/17 >c2960(config-if)#mac access-group test in >c2960(config-if)#exit > >Все работает, но при условии что у нарушителя пустая arp таблица, если >ли же в арп таблице присутствует статическая или динамическая запись то >нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ? >Как отключить по маку, что бы наверника :) >Буду весьма благодарен. Спасибо! попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая последняя строчка "deny any any" и попинговать не сам свич, а что то за ним.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Ограничить злодея по маку"
	Сообщение от fenix2 (??) on 25-Июл-07, 01:47
	>[оверквотинг удален] >> >>Все работает, но при условии что у нарушителя пустая arp таблица, если >>ли же в арп таблице присутствует статическая или динамическая запись то >>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ? >>Как отключить по маку, что бы наверника :) >>Буду весьма благодарен. Спасибо! > >попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая >последняя строчка "deny any any" и попинговать не сам свич, а >что то за ним. и не забывай что mac тоже мона поменять =)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Ограничить злодея по маку"
	Сообщение от max90 on 26-Июл-07, 11:20
	>[оверквотинг удален] >> >>Все работает, но при условии что у нарушителя пустая arp таблица, если >>ли же в арп таблице присутствует статическая или динамическая запись то >>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ? >>Как отключить по маку, что бы наверника :) >>Буду весьма благодарен. Спасибо! > >попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая >последняя строчка "deny any any" и попинговать не сам свич, а >что то за ним. deny any any, дописывал, эффект тот же, пингую конечно не сам свич.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Ограничить злодея по маку"
Сообщение от SergTel on 25-Июл-07, 17:31
>[оверквотинг удален] >c2960(config-ext-macl)#exit >c2960(config)#int fa0/17 >c2960(config-if)#mac access-group test in >c2960(config-if)#exit > >Все работает, но при условии что у нарушителя пустая arp таблица, если >ли же в арп таблице присутствует статическая или динамическая запись то >нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ? >Как отключить по маку, что бы наверника :) >Буду весьма благодарен. Спасибо! данный хост подключен к киске или простому хабу? если к киске то порт засшутить, если к хабу то ACL mac- и мониторить порт на возможную смену mac-
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Ограничить злодея по маку"
	Сообщение от max90 on 26-Июл-07, 11:22
	>[оверквотинг удален] >> >>Все работает, но при условии что у нарушителя пустая arp таблица, если >>ли же в арп таблице присутствует статическая или динамическая запись то >>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ? >>Как отключить по маку, что бы наверника :) >>Буду весьма благодарен. Спасибо! > >данный хост подключен к киске или простому хабу? если к киске то >порт засшутить, если к хабу то ACL mac- и мониторить порт >на возможную смену mac- если бы к циске напряму был подключен порт в shutdown положил бы и делов то.., местные еще не знаю что мак можно менять :) Вообщем загадка, до сих пор не разобрался :((
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Ограничить злодея по маку"
	Сообщение от fenix2 (ok) on 26-Июл-07, 16:36
	>Вообщем загадка, до сих пор не разобрался :(( попробуй еще vlan access-map Switch(config)#mac access-list extended deny_bad Switch(config-ext-nacl)#permit host 0000.861f.3745 host any [да, тут permit] Switch(config-ext-nacl)#permit any any Switch(config-ext-nacl)#end Switch(config)#vlan access-map block_bad 10 Switch (config-access-map)#action drop Switch (config-access-map)#match mac address deny_bad Switch(config)#vlan access-map block_arp 20 Switch (config-access-map)#action forward Switch(config)#vlan filter block_bad vlan-list 1 [или какой там влан]
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]