URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15686
[ Назад ]

Исходное сообщение
"Фильтр пакета по MAC адресу источника"

Отправлено timur_m , 05-Мрт-08 10:34 
Всем привет!
Прошу помощи в настройке фильтрации пакетов в cisco IOS Version 12.2(18)SXF11.
Как можно запретить прохождения пакета от MAC адреса клиента на ip адрес и порт через рутер cisco. Для меня не совсем тривиально это сделать. На решение потратил уже много времени.
В ipfw FreeBSD это было бы:
deny tcp from any to 10.1.1.100 dst-port 21 MAC any 00:1a:4d:41:28:8b

C ip access-list все понятно, фильтр только по ip адресам. Как-то можно прикрутить к правилу mac адрес источника?
Или можно наложить жесткое правило на ip адрес, чтобы его можно было пропускать, если пакет содержит mac адрес определенного источника? Тогда можно свободно использовать ip access-list.

За помощь, большое спасибо!


Содержание

Сообщения в этом обсуждении
"Фильтр пакета по MAC адресу источника"
Отправлено timur_m , 06-Мрт-08 10:59 
Похоже ни у кого на этот счет идей нет.
Может быть, есть мысль, в каком направлении развивать тему?

Поделитесь опытом...


"Фильтр пакета по MAC адресу источника"
Отправлено CrAzOiD , 06-Мрт-08 11:02 
>[оверквотинг удален]
>В ipfw FreeBSD это было бы:
>deny tcp from any to 10.1.1.100 dst-port 21 MAC any 00:1a:4d:41:28:8b
>
>C ip access-list все понятно, фильтр только по ip адресам. Как-то можно
>прикрутить к правилу mac адрес источника?
>Или можно наложить жесткое правило на ip адрес, чтобы его можно было
>пропускать, если пакет содержит mac адрес определенного источника? Тогда можно свободно
>использовать ip access-list.
>
>За помощь, большое спасибо!

access-list 700 permit 1111.1111.1111 ffff.ffff.ffff


"Фильтр пакета по MAC адресу источника"
Отправлено timur_m , 06-Мрт-08 11:59 
>access-list 700 permit 1111.1111.1111 ffff.ffff.ffff

ОК, спасибо, только немного непонятно, дольше необходимо добавить правило для ip адресов:
access-list 2000 deny tcp 192.168.1.0 0.0.0.255 host 10.1.1.100 eq 21

и нужно его применить для отдельного интерфейса - вилана (vlan10):
но в конфигурации есть только ip access-group, параметры которой задаются только номерами или именным access-list'ами для ip-адресов.
Как можно access-list 700 применить для интерфейса? Сразу правило работать не будет, я правильно понимаю?...


"Фильтр пакета по MAC адресу источника"
Отправлено CrAzOiD , 06-Мрт-08 22:40 
>[оверквотинг удален]
>
>ОК, спасибо, только немного непонятно, дольше необходимо добавить правило для ip адресов:
>
>access-list 2000 deny tcp 192.168.1.0 0.0.0.255 host 10.1.1.100 eq 21
>
>и нужно его применить для отдельного интерфейса - вилана (vlan10):
>но в конфигурации есть только ip access-group, параметры которой задаются только номерами
>или именным access-list'ами для ip-адресов.
>Как можно access-list 700 применить для интерфейса? Сразу правило работать не будет,
>я правильно понимаю?...

ip access-group 700

комбинировать L2 и L3(L4) правила нельзя в одном ACL
хотя может есть какие способы через policy-map


"Фильтр пакета по MAC адресу источника"
Отправлено Bebop , 31-Авг-15 12:28 
>[оверквотинг удален]
> и порт через рутер cisco. Для меня не совсем тривиально это
> сделать. На решение потратил уже много времени.
> В ipfw FreeBSD это было бы:
> deny tcp from any to 10.1.1.100 dst-port 21 MAC any 00:1a:4d:41:28:8b
> C ip access-list все понятно, фильтр только по ip адресам. Как-то можно
> прикрутить к правилу mac адрес источника?
> Или можно наложить жесткое правило на ip адрес, чтобы его можно было
> пропускать, если пакет содержит mac адрес определенного источника? Тогда можно свободно
> использовать ip access-list.
> За помощь, большое спасибо!

Вот, в данном случае конкретно по пакету пппое:

mac access-list extended PPPOE
permit any any 0x8863 0x0
permit any any 0x8864 0x0
mac access-list extended PPPOE_incom
deny   any host ffff.ffff.ffff 0x8863 0x0
permit any any

#аксес листы конечно ваши
vlan access-map PPPOE_FILTER 10
action forward
match mac address PPPOE
vlan access-map PPPOE_FILTER 20
action drop

vlan filter PPPOE_FILTER vlan-list [номер влана]
vlan internal allocation policy ascending

вешается на аплинк:
mac access-group PPPOE_incom in