The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Фильтр пакета по MAC адресу источника"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Фильтр пакета по MAC адресу источника"  +/
Сообщение от timur_m (ok) on 05-Мрт-08, 10:34 
Всем привет!
Прошу помощи в настройке фильтрации пакетов в cisco IOS Version 12.2(18)SXF11.
Как можно запретить прохождения пакета от MAC адреса клиента на ip адрес и порт через рутер cisco. Для меня не совсем тривиально это сделать. На решение потратил уже много времени.
В ipfw FreeBSD это было бы:
deny tcp from any to 10.1.1.100 dst-port 21 MAC any 00:1a:4d:41:28:8b

C ip access-list все понятно, фильтр только по ip адресам. Как-то можно прикрутить к правилу mac адрес источника?
Или можно наложить жесткое правило на ip адрес, чтобы его можно было пропускать, если пакет содержит mac адрес определенного источника? Тогда можно свободно использовать ip access-list.

За помощь, большое спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Фильтр пакета по MAC адресу источника"  +/
Сообщение от timur_m (ok) on 06-Мрт-08, 10:59 
Похоже ни у кого на этот счет идей нет.
Может быть, есть мысль, в каком направлении развивать тему?

Поделитесь опытом...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Фильтр пакета по MAC адресу источника"  +/
Сообщение от CrAzOiD (ok) on 06-Мрт-08, 11:02 
>[оверквотинг удален]
>В ipfw FreeBSD это было бы:
>deny tcp from any to 10.1.1.100 dst-port 21 MAC any 00:1a:4d:41:28:8b
>
>C ip access-list все понятно, фильтр только по ip адресам. Как-то можно
>прикрутить к правилу mac адрес источника?
>Или можно наложить жесткое правило на ip адрес, чтобы его можно было
>пропускать, если пакет содержит mac адрес определенного источника? Тогда можно свободно
>использовать ip access-list.
>
>За помощь, большое спасибо!

access-list 700 permit 1111.1111.1111 ffff.ffff.ffff

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Фильтр пакета по MAC адресу источника"  +/
Сообщение от timur_m (ok) on 06-Мрт-08, 11:59 
>access-list 700 permit 1111.1111.1111 ffff.ffff.ffff

ОК, спасибо, только немного непонятно, дольше необходимо добавить правило для ip адресов:
access-list 2000 deny tcp 192.168.1.0 0.0.0.255 host 10.1.1.100 eq 21

и нужно его применить для отдельного интерфейса - вилана (vlan10):
но в конфигурации есть только ip access-group, параметры которой задаются только номерами или именным access-list'ами для ip-адресов.
Как можно access-list 700 применить для интерфейса? Сразу правило работать не будет, я правильно понимаю?...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Фильтр пакета по MAC адресу источника"  +/
Сообщение от CrAzOiD (ok) on 06-Мрт-08, 22:40 
>[оверквотинг удален]
>
>ОК, спасибо, только немного непонятно, дольше необходимо добавить правило для ip адресов:
>
>access-list 2000 deny tcp 192.168.1.0 0.0.0.255 host 10.1.1.100 eq 21
>
>и нужно его применить для отдельного интерфейса - вилана (vlan10):
>но в конфигурации есть только ip access-group, параметры которой задаются только номерами
>или именным access-list'ами для ip-адресов.
>Как можно access-list 700 применить для интерфейса? Сразу правило работать не будет,
>я правильно понимаю?...

ip access-group 700

комбинировать L2 и L3(L4) правила нельзя в одном ACL
хотя может есть какие способы через policy-map

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Фильтр пакета по MAC адресу источника"  +/
Сообщение от Bebop on 31-Авг-15, 12:28 
>[оверквотинг удален]
> и порт через рутер cisco. Для меня не совсем тривиально это
> сделать. На решение потратил уже много времени.
> В ipfw FreeBSD это было бы:
> deny tcp from any to 10.1.1.100 dst-port 21 MAC any 00:1a:4d:41:28:8b
> C ip access-list все понятно, фильтр только по ip адресам. Как-то можно
> прикрутить к правилу mac адрес источника?
> Или можно наложить жесткое правило на ip адрес, чтобы его можно было
> пропускать, если пакет содержит mac адрес определенного источника? Тогда можно свободно
> использовать ip access-list.
> За помощь, большое спасибо!

Вот, в данном случае конкретно по пакету пппое:

mac access-list extended PPPOE
permit any any 0x8863 0x0
permit any any 0x8864 0x0
mac access-list extended PPPOE_incom
deny   any host ffff.ffff.ffff 0x8863 0x0
permit any any

#аксес листы конечно ваши
vlan access-map PPPOE_FILTER 10
action forward
match mac address PPPOE
vlan access-map PPPOE_FILTER 20
action drop

vlan filter PPPOE_FILTER vlan-list [номер влана]
vlan internal allocation policy ascending

вешается на аплинк:
mac access-group PPPOE_incom in


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру