ROS软路由论坛 ROSABC.com

 找回密码
 会员注册
查看: 15257|回复: 77

[Default默认分类] [通过 Bridge Filter 控制 MAC 地址] 通过 bridge filter 控制 MAC 地址

  [复制链接]
发表于 2013-4-21 03:31:26 | 显示全部楼层 |阅读模式
ROS软路由论坛
通过 Bridge Filter 控制 MAC 地址

通过 bridge filter 控制 MAC 地址,如当我们把 RouterOS 设置为透明桥时,可以控制网络内的主机 MAC 通讯, 这样我们可以从二层上控制客户端 PC。

我们通过 bridge 过滤 MAC 地址,必须启用 bridge,并指定相应网络接口到 bridge port 中,至少需要设定一 个网络接口到 Port 中,设置 bridge 的操作如下

1、 添加一个 bridge,默认的 bridge 的名称为 bridge1,并设置 RSTP(快速生成树协议)模式:
游客,如果您要查看本帖隐藏内容请回复




添加完 bridge 后,我们可以在 bridge 列表中查看到:
15.9.2.jpg


2、我们将 ether1 和 wlan1 网络接口添加到 bridge1 里,这样 2 个网络接口就实现了桥接功能
15.9.3.jpg


过滤源和目标 MAC 地址

1、源 MAC 地址过滤

在设置完基本的 bridge 后,我们进入 bridge filter 中配置桥防火墙过滤,首先我们需要对指定的一台 PC 的MAC:00:E2:67:32:B4:81 地址做过滤,不允许与 bridge 的外部网络连接,如下图:
15.9.4.jpg


这个 MAC 是发起源,选择 src-mac-address,由于这里拒绝访问 bridge 以外的网络,选择 chain=forward,设定 action=drop。RouterOS Winbox 配置如下:

15.9.5.jpg



接下来选择 Action 为 drop,丢弃该 MAC 地址发出的数据:
15.9.6.jpg



注意:我们设置 src-mac-address 时,后面跟着 MAC 掩码,这个掩码和我们 IP 层的子网掩码类是,只是 MAC掩码是按照十六进制换算,十六进制的 FF 与 IP 掩码的 255 是相同,规定网络范围,因为这里是过滤一个台主 机的 MAC 地址,所以我们设置 MAC 子网掩码为 FF:FF:FF:FF:FF:FF。

2、目标 MAC 地址

反过来从外网访问一个该主机,则是目标 MAC 过滤,只是之前我们设置的是 scr-mac-address,反过来填写 目标的 MAC,即 dst-mac-address,我们还是用之前的 MAC 地址做事例
15.9.7.jpg


我们添加目标 MAC 地址过滤规则,选择 dst-mac-address=00:E2:67:32:B4:81,dst-mac-address 默认 为全 FF。  
15.9.8.jpg


Action 同样选择 drop,丢弃到该目标 MAC 的数据。

下面我们可以在 filter 中看到 2 条规则,分别是控制从源地址和目标地址的数据,这样设置后,我们可以理解为 对 00:E2:67:32:B4:81 主机数据的双向过滤。
15.9.9.jpg


过滤指定厂商的 MAC 地址

我们知道所有的网络设备都有一个 6 位的 MAC 地址,前 3 位为生产厂商标示,后 3 位为设备编号,当我们在 做无线网桥的时候,只允许特定某一厂商的网卡连接到 RouterOS,可以通过 Bridge 的防火墙控制 MAC 地址, 限制某一类的 MAC 不能连接到 RouterOS 设备,或者通过 RouterOS 设备。

例如,我们的一台 RouterBOARD 设备要求只能允许其他 RouterBOARD 的设备连接,可以通过 brigde fiter控制,由于每个 RouterBOARD 的以太网卡 MAC 地址都是前 3 位都是以 00:0C:42 开头,我们只需要允许前3 位 MAC 为 00:0C:42 的 MAC 通过就可以。

在设置为 bridge 的接口参数后,我们在 filter 中配置 2 条 input 规则,限制除了 MAC 地址前 3 位是 00:0C:42能连接 RouterOS,其他的都拒绝掉。

根据 RouterOS 防火墙原理,分别需要设置两条规则,一条是接受 MAC 地址前 3 位是 00:0C:42 的 MAC 地 址,第二条是丢弃其他所有的 MAC 数据。

第一条规则,设置 src-mac-address=00:0C:42:00:00:00/src-mac-mask=FF:FF:FF:00:00:00
15.9.10.jpg


在 action 中选择 accpet 接受,数据通过
15.9.11.jpg



第二条规则,是丢弃其他所有的 MAC 数据
15.9.12.jpg


配置完成后,如下:
游客,如果您要查看本帖隐藏内容请回复



发表于 2013-8-9 16:46:37 | 显示全部楼层
ROS软路由论坛
see  see  see  see
发表于 2013-8-15 13:34:29 | 显示全部楼层
看看学习西 谢谢
发表于 2013-8-23 06:20:46 | 显示全部楼层
学习一下了!谢谢分享!
发表于 2013-11-7 21:16:30 | 显示全部楼层
来学习的,求真相
发表于 2013-11-15 20:02:29 | 显示全部楼层
楼主辛苦了回复下看看
发表于 2013-12-5 17:27:02 | 显示全部楼层
学习一下!感谢分享!
发表于 2013-12-13 09:57:42 | 显示全部楼层
学习中,美女大眼睛这个主题不错
发表于 2013-12-23 15:42:58 | 显示全部楼层
学习一下!感谢分享!
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

ROS教程版块已全面开放,
即使是新注册的初级会员也可阅读全部内容。

不良信息举报Q:2000617

不良信息举报Q:2000617|Archiver|小黑屋|ROS软路由论坛 ROSABC.com

GMT+8, 2020-9-23 13:13 , Processed in 0.247341 second(s), 22 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表