URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14022
[ Назад ]

Исходное сообщение
"Ограничить злодея по маку"

Отправлено max90 , 20-Июл-07 11:57 
Доброго времени суток! Уважаемые гуру, подскажите, потому как опыт настройки cisco сравнительно небольшой. Обнаружил зловредителя в сети, хочу ограничить его по mac-адресу.
Пишу..
c2960(config)#mac access-list extended test
c2960(config-ext-macl)#deny host 0016.e665.2bcb any
c2960(config-ext-macl)#exit
c2960(config)#int fa0/17
c2960(config-if)#mac access-group test in
c2960(config-if)#exit

Все работает, но при условии что у нарушителя пустая arp таблица, если ли же в арп таблице присутствует статическая или динамическая запись то нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ? Как отключить по маку, что бы наверника :)
Буду весьма благодарен. Спасибо!


Содержание

Сообщения в этом обсуждении
"Ограничить злодея по маку"
Отправлено sz , 20-Июл-07 12:17 
>[оверквотинг удален]
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>Как отключить по маку, что бы наверника :)
>Буду весьма благодарен. Спасибо!

Использовать port-security?


"Ограничить злодея по маку"
Отправлено Andrew , 23-Июл-07 22:53 
>>Как отключить по маку, что бы наверника :)
>Использовать port-security?

не поможет. Порт секурити сработает еслик этому порту будет подключено устройство с дрйгим маком. Варианты возможных действий можно выбрать.


"Ограничить злодея по маку"
Отправлено vgray , 23-Июл-07 07:17 
>[оверквотинг удален]
>c2960(config)#mac access-list extended test
>c2960(config-ext-macl)#deny host 0016.e665.2bcb any
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?

из документации

On Layer 2 interfaces, you can filter IP traffic by using IP access lists and non-IP traffic by using MAC access lists. You can filter both IP and non-IP traffic on the same Layer 2 interface by applying both an IP ACL and a MAC ACL to the interface. You can apply no more than one IP access list and one MAC access list to the same Layer 2 interface.

ключевое слово non-IP


"Ограничить злодея по маку"
Отправлено max90 , 23-Июл-07 22:21 

>[оверквотинг удален]
>
>On Layer 2 interfaces, you can filter IP traffic by using IP
>access lists and non-IP traffic by using MAC access lists. You
>can filter both IP and non-IP traffic on the same Layer
>2 interface by applying both an IP ACL and a MAC
>ACL to the interface. You can apply no more than one
>IP access list and one MAC access list to the same
>Layer 2 interface.
>
>ключевое слово non-IP

Насколько я знаю, IP - Layer3, MAC-Address(Ethernet) - Layer2, второй уровень это естественно не IP.



"Ограничить злодея по маку"
Отправлено fenix2 , 25-Июл-07 01:47 
>[оверквотинг удален]
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>Как отключить по маку, что бы наверника :)
>Буду весьма благодарен. Спасибо!

попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая последняя строчка "deny any any" и попинговать не сам свич, а что то за ним.


"Ограничить злодея по маку"
Отправлено fenix2 , 25-Июл-07 01:47 
>[оверквотинг удален]
>>
>>Все работает, но при условии что у нарушителя пустая arp таблица, если
>>ли же в арп таблице присутствует статическая или динамическая запись то
>>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>>Как отключить по маку, что бы наверника :)
>>Буду весьма благодарен. Спасибо!
>
>попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая
>последняя строчка "deny any any" и попинговать не сам свич, а
>что то за ним.

и не забывай что mac тоже мона поменять =)


"Ограничить злодея по маку"
Отправлено max90 , 26-Июл-07 11:20 
>[оверквотинг удален]
>>
>>Все работает, но при условии что у нарушителя пустая arp таблица, если
>>ли же в арп таблице присутствует статическая или динамическая запись то
>>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>>Как отключить по маку, что бы наверника :)
>>Буду весьма благодарен. Спасибо!
>
>попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая
>последняя строчка "deny any any" и попинговать не сам свич, а
>что то за ним.

deny any any, дописывал, эффект тот же, пингую конечно не сам свич.


"Ограничить злодея по маку"
Отправлено SergTel , 25-Июл-07 17:31 
>[оверквотинг удален]
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>Как отключить по маку, что бы наверника :)
>Буду весьма благодарен. Спасибо!

данный хост подключен к киске или простому хабу? если к киске то порт засшутить, если к хабу то ACL mac- и мониторить порт на возможную смену mac-



"Ограничить злодея по маку"
Отправлено max90 , 26-Июл-07 11:22 
>[оверквотинг удален]
>>
>>Все работает, но при условии что у нарушителя пустая arp таблица, если
>>ли же в арп таблице присутствует статическая или динамическая запись то
>>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>>Как отключить по маку, что бы наверника :)
>>Буду весьма благодарен. Спасибо!
>
>данный хост подключен к киске или простому хабу? если к киске то
>порт засшутить, если к хабу то ACL mac- и мониторить порт
>на возможную смену mac-

если бы к циске напряму был подключен порт в shutdown положил бы и делов то.., местные еще не знаю что мак можно менять :)

Вообщем загадка, до сих пор не разобрался :((


"Ограничить злодея по маку"
Отправлено fenix2 , 26-Июл-07 16:36 
>Вообщем загадка, до сих пор не разобрался :((

попробуй еще vlan access-map

Switch(config)#mac access-list extended deny_bad
Switch(config-ext-nacl)#permit host 0000.861f.3745 host any  [да, тут permit]
Switch(config-ext-nacl)#permit any any
Switch(config-ext-nacl)#end
Switch(config)#vlan access-map block_bad 10
Switch (config-access-map)#action drop
Switch (config-access-map)#match mac address deny_bad
Switch(config)#vlan access-map block_arp 20
Switch (config-access-map)#action forward
Switch(config)#vlan filter block_bad vlan-list 1 [или какой там влан]