forum.opennet.ru - "Фильтр пакета по MAC адресу источника" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Фильтр пакета по MAC адресу источника"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Фильтр пакета по MAC адресу источника"	+/–
Сообщение от timur_m (ok) on 05-Мрт-08, 10:34
Всем привет! Прошу помощи в настройке фильтрации пакетов в cisco IOS Version 12.2(18)SXF11. Как можно запретить прохождения пакета от MAC адреса клиента на ip адрес и порт через рутер cisco. Для меня не совсем тривиально это сделать. На решение потратил уже много времени. В ipfw FreeBSD это было бы: deny tcp from any to 10.1.1.100 dst-port 21 MAC any 00:1a:4d:41:28:8b C ip access-list все понятно, фильтр только по ip адресам. Как-то можно прикрутить к правилу mac адрес источника? Или можно наложить жесткое правило на ip адрес, чтобы его можно было пропускать, если пакет содержит mac адрес определенного источника? Тогда можно свободно использовать ip access-list. За помощь, большое спасибо!
Ответить \| Правка \| Cообщить модератору

Оглавление

Фильтр пакета по MAC адресу источника, timur_m, 10:59 , 06-Мрт-08, (1)
Фильтр пакета по MAC адресу источника, CrAzOiD, 11:02 , 06-Мрт-08, (2)

Фильтр пакета по MAC адресу источника, timur_m, 11:59 , 06-Мрт-08, (3)

Фильтр пакета по MAC адресу источника, CrAzOiD, 22:40 , 06-Мрт-08, (4)

Фильтр пакета по MAC адресу источника, Bebop, 12:28 , 31-Авг-15, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Фильтр пакета по MAC адресу источника" +/–

Сообщение от timur_m (ok) on 06-Мрт-08, 10:59

Похоже ни у кого на этот счет идей нет.
Может быть, есть мысль, в каком направлении развивать тему?
Поделитесь опытом...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Фильтр пакета по MAC адресу источника" +/–

Сообщение от CrAzOiD (ok) on 06-Мрт-08, 11:02

>[оверквотинг удален]
>В ipfw FreeBSD это было бы:
>deny tcp from any to 10.1.1.100 dst-port 21 MAC any 00:1a:4d:41:28:8b
>
>C ip access-list все понятно, фильтр только по ip адресам. Как-то можно
>прикрутить к правилу mac адрес источника?
>Или можно наложить жесткое правило на ip адрес, чтобы его можно было
>пропускать, если пакет содержит mac адрес определенного источника? Тогда можно свободно
>использовать ip access-list.
>
>За помощь, большое спасибо!
access-list 700 permit 1111.1111.1111 ffff.ffff.ffff

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Фильтр пакета по MAC адресу источника" +/–

Сообщение от timur_m (ok) on 06-Мрт-08, 11:59

>access-list 700 permit 1111.1111.1111 ffff.ffff.ffff
ОК, спасибо, только немного непонятно, дольше необходимо добавить правило для ip адресов:
access-list 2000 deny tcp 192.168.1.0 0.0.0.255 host 10.1.1.100 eq 21
и нужно его применить для отдельного интерфейса - вилана (vlan10):
но в конфигурации есть только ip access-group, параметры которой задаются только номерами или именным access-list'ами для ip-адресов.
Как можно access-list 700 применить для интерфейса? Сразу правило работать не будет, я правильно понимаю?...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Фильтр пакета по MAC адресу источника" +/–

Сообщение от CrAzOiD (ok) on 06-Мрт-08, 22:40

>[оверквотинг удален]
>
>ОК, спасибо, только немного непонятно, дольше необходимо добавить правило для ip адресов:
>
>access-list 2000 deny tcp 192.168.1.0 0.0.0.255 host 10.1.1.100 eq 21
>
>и нужно его применить для отдельного интерфейса - вилана (vlan10):
>но в конфигурации есть только ip access-group, параметры которой задаются только номерами
>или именным access-list'ами для ip-адресов.
>Как можно access-list 700 применить для интерфейса? Сразу правило работать не будет,
>я правильно понимаю?...
ip access-group 700
комбинировать L2 и L3(L4) правила нельзя в одном ACL
хотя может есть какие способы через policy-map

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Фильтр пакета по MAC адресу источника" +/–

Сообщение от Bebop on 31-Авг-15, 12:28

>[оверквотинг удален]
> и порт через рутер cisco. Для меня не совсем тривиально это
> сделать. На решение потратил уже много времени.
> В ipfw FreeBSD это было бы:
> deny tcp from any to 10.1.1.100 dst-port 21 MAC any 00:1a:4d:41:28:8b
> C ip access-list все понятно, фильтр только по ip адресам. Как-то можно
> прикрутить к правилу mac адрес источника?
> Или можно наложить жесткое правило на ip адрес, чтобы его можно было
> пропускать, если пакет содержит mac адрес определенного источника? Тогда можно свободно
> использовать ip access-list.
> За помощь, большое спасибо!
Вот, в данном случае конкретно по пакету пппое:
mac access-list extended PPPOE
permit any any 0x8863 0x0
permit any any 0x8864 0x0
mac access-list extended PPPOE_incom
deny any host ffff.ffff.ffff 0x8863 0x0
permit any any
#аксес листы конечно ваши
vlan access-map PPPOE_FILTER 10
action forward
match mac address PPPOE
vlan access-map PPPOE_FILTER 20
action drop
vlan filter PPPOE_FILTER vlan-list [номер влана]
vlan internal allocation policy ascending
вешается на аплинк:
mac access-group PPPOE_incom in

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Фильтр пакета по MAC адресу источника"	+/–
Сообщение от timur_m (ok) on 06-Мрт-08, 10:59
Похоже ни у кого на этот счет идей нет. Может быть, есть мысль, в каком направлении развивать тему? Поделитесь опытом...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Фильтр пакета по MAC адресу источника"	+/–
Сообщение от CrAzOiD (ok) on 06-Мрт-08, 11:02
>[оверквотинг удален] >В ipfw FreeBSD это было бы: >deny tcp from any to 10.1.1.100 dst-port 21 MAC any 00:1a:4d:41:28:8b > >C ip access-list все понятно, фильтр только по ip адресам. Как-то можно >прикрутить к правилу mac адрес источника? >Или можно наложить жесткое правило на ip адрес, чтобы его можно было >пропускать, если пакет содержит mac адрес определенного источника? Тогда можно свободно >использовать ip access-list. > >За помощь, большое спасибо! access-list 700 permit 1111.1111.1111 ffff.ffff.ffff
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Фильтр пакета по MAC адресу источника"	+/–
	Сообщение от timur_m (ok) on 06-Мрт-08, 11:59
	>access-list 700 permit 1111.1111.1111 ffff.ffff.ffff ОК, спасибо, только немного непонятно, дольше необходимо добавить правило для ip адресов: access-list 2000 deny tcp 192.168.1.0 0.0.0.255 host 10.1.1.100 eq 21 и нужно его применить для отдельного интерфейса - вилана (vlan10): но в конфигурации есть только ip access-group, параметры которой задаются только номерами или именным access-list'ами для ip-адресов. Как можно access-list 700 применить для интерфейса? Сразу правило работать не будет, я правильно понимаю?...
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Фильтр пакета по MAC адресу источника"	+/–
	Сообщение от CrAzOiD (ok) on 06-Мрт-08, 22:40
	>[оверквотинг удален] > >ОК, спасибо, только немного непонятно, дольше необходимо добавить правило для ip адресов: > >access-list 2000 deny tcp 192.168.1.0 0.0.0.255 host 10.1.1.100 eq 21 > >и нужно его применить для отдельного интерфейса - вилана (vlan10): >но в конфигурации есть только ip access-group, параметры которой задаются только номерами >или именным access-list'ами для ip-адресов. >Как можно access-list 700 применить для интерфейса? Сразу правило работать не будет, >я правильно понимаю?... ip access-group 700 комбинировать L2 и L3(L4) правила нельзя в одном ACL хотя может есть какие способы через policy-map
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "Фильтр пакета по MAC адресу источника"	+/–
Сообщение от Bebop on 31-Авг-15, 12:28
>[оверквотинг удален] > и порт через рутер cisco. Для меня не совсем тривиально это > сделать. На решение потратил уже много времени. > В ipfw FreeBSD это было бы: > deny tcp from any to 10.1.1.100 dst-port 21 MAC any 00:1a:4d:41:28:8b > C ip access-list все понятно, фильтр только по ip адресам. Как-то можно > прикрутить к правилу mac адрес источника? > Или можно наложить жесткое правило на ip адрес, чтобы его можно было > пропускать, если пакет содержит mac адрес определенного источника? Тогда можно свободно > использовать ip access-list. > За помощь, большое спасибо! Вот, в данном случае конкретно по пакету пппое: mac access-list extended PPPOE permit any any 0x8863 0x0 permit any any 0x8864 0x0 mac access-list extended PPPOE_incom deny any host ffff.ffff.ffff 0x8863 0x0 permit any any #аксес листы конечно ваши vlan access-map PPPOE_FILTER 10 action forward match mac address PPPOE vlan access-map PPPOE_FILTER 20 action drop vlan filter PPPOE_FILTER vlan-list [номер влана] vlan internal allocation policy ascending вешается на аплинк: mac access-group PPPOE_incom in
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору