设为首页收藏本站不良信息举报Q:2000617

ROS软路由论坛 ROSABC.com 网络方案网络工程交流

 找回密码
 会员注册

QQ登录

只需一步,快速开始

ROS软路由论坛 ROSABC.com 网络方案网络工程交流 »论坛 »软路由论坛 ROS教程(官方翻译中文教程) [通过 Bridge Filter 控制 MAC 地址] 通过 bridge filt ...
123456789下一页
返回列表 发新帖
查看: 52317|回复: 80

[Default默认分类] [通过 Bridge Filter 控制 MAC 地址] 通过 bridge filter 控制 MAC 地址

  [复制链接]
大眼晴
发表于 2013-4-21 03:31:26 | 显示全部楼层 |阅读模式

马上注册成为ROSABC会员,随时发帖回复。

您需要 登录 才可以下载或查看,没有账号?会员注册

x
通过 Bridge Filter 控制 MAC 地址

通过 bridge filter 控制 MAC 地址,如当我们把 RouterOS 设置为透明桥时,可以控制网络内的主机 MAC 通讯, 这样我们可以从二层上控制客户端 PC。

我们通过 bridge 过滤 MAC 地址,必须启用 bridge,并指定相应网络接口到 bridge port 中,至少需要设定一 个网络接口到 Port 中,设置 bridge 的操作如下

1、 添加一个 bridge,默认的 bridge 的名称为 bridge1,并设置 RSTP(快速生成树协议)模式:
游客,如果您要查看本帖隐藏内容请回复




添加完 bridge 后,我们可以在 bridge 列表中查看到:
15.9.2.jpg


2、我们将 ether1 和 wlan1 网络接口添加到 bridge1 里,这样 2 个网络接口就实现了桥接功能
15.9.3.jpg


过滤源和目标 MAC 地址

1、源 MAC 地址过滤

在设置完基本的 bridge 后,我们进入 bridge filter 中配置桥防火墙过滤,首先我们需要对指定的一台 PC 的MAC:00:E2:67:32:B4:81 地址做过滤,不允许与 bridge 的外部网络连接,如下图:
15.9.4.jpg


这个 MAC 是发起源,选择 src-mac-address,由于这里拒绝访问 bridge 以外的网络,选择 chain=forward,设定 action=drop。RouterOS Winbox 配置如下:

15.9.5.jpg



接下来选择 Action 为 drop,丢弃该 MAC 地址发出的数据:
15.9.6.jpg



注意:我们设置 src-mac-address 时,后面跟着 MAC 掩码,这个掩码和我们 IP 层的子网掩码类是,只是 MAC掩码是按照十六进制换算,十六进制的 FF 与 IP 掩码的 255 是相同,规定网络范围,因为这里是过滤一个台主 机的 MAC 地址,所以我们设置 MAC 子网掩码为 FF:FF:FF:FF:FF:FF。

2、目标 MAC 地址

反过来从外网访问一个该主机,则是目标 MAC 过滤,只是之前我们设置的是 scr-mac-address,反过来填写 目标的 MAC,即 dst-mac-address,我们还是用之前的 MAC 地址做事例
15.9.7.jpg


我们添加目标 MAC 地址过滤规则,选择 dst-mac-address=00:E2:67:32:B4:81,dst-mac-address 默认 为全 FF。  
15.9.8.jpg


Action 同样选择 drop,丢弃到该目标 MAC 的数据。

下面我们可以在 filter 中看到 2 条规则,分别是控制从源地址和目标地址的数据,这样设置后,我们可以理解为 对 00:E2:67:32:B4:81 主机数据的双向过滤。
15.9.9.jpg


过滤指定厂商的 MAC 地址

我们知道所有的网络设备都有一个 6 位的 MAC 地址,前 3 位为生产厂商标示,后 3 位为设备编号,当我们在 做无线网桥的时候,只允许特定某一厂商的网卡连接到 RouterOS,可以通过 Bridge 的防火墙控制 MAC 地址, 限制某一类的 MAC 不能连接到 RouterOS 设备,或者通过 RouterOS 设备。

例如,我们的一台 RouterBOARD 设备要求只能允许其他 RouterBOARD 的设备连接,可以通过 brigde fiter控制,由于每个 RouterBOARD 的以太网卡 MAC 地址都是前 3 位都是以 00:0C:42 开头,我们只需要允许前3 位 MAC 为 00:0C:42 的 MAC 通过就可以。

在设置为 bridge 的接口参数后,我们在 filter 中配置 2 条 input 规则,限制除了 MAC 地址前 3 位是 00:0C:42能连接 RouterOS,其他的都拒绝掉。

根据 RouterOS 防火墙原理,分别需要设置两条规则,一条是接受 MAC 地址前 3 位是 00:0C:42 的 MAC 地 址,第二条是丢弃其他所有的 MAC 数据。

第一条规则,设置 src-mac-address=00:0C:42:00:00:00/src-mac-mask=FF:FF:FF:00:00:00
15.9.10.jpg


在 action 中选择 accpet 接受,数据通过
15.9.11.jpg



第二条规则,是丢弃其他所有的 MAC 数据
15.9.12.jpg


配置完成后,如下:
游客,如果您要查看本帖隐藏内容请回复



, 地址, 网络连接, bridge, 接口

相关帖子

A币获取各种方法及积分规则
回复

举报

发表于 2013-8-9 16:46:37 | 显示全部楼层
see  see  see  see
回复 支持 反对

举报

ang22
发表于 2013-8-15 13:34:29 | 显示全部楼层
看看学习西 谢谢
回复 支持 反对

举报

davidldh
发表于 2013-8-23 06:20:46 | 显示全部楼层
学习一下了!谢谢分享!
回复 支持 反对

举报

xjlsky
发表于 2013-11-7 21:16:30 | 显示全部楼层
来学习的,求真相
回复 支持 反对

举报

udbfukyy
发表于 2013-11-15 20:02:29 | 显示全部楼层
楼主辛苦了回复下看看
回复 支持 反对

举报

mayiking
发表于 2013-12-5 17:27:02 | 显示全部楼层
学习一下!感谢分享!
回复 支持 反对

举报

fzdshzm
发表于 2013-12-13 09:57:42 | 显示全部楼层
学习中,美女大眼睛这个主题不错
回复 支持 反对

举报

Will
发表于 2013-12-23 15:42:58 | 显示全部楼层
学习一下!感谢分享!
回复 支持 反对

举报

下一页 »
123456789下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

不良信息举报Q:2000617

软路由

不良信息举报Q:2000617|Archiver|ROS软路由论坛 ROSABC.com 网络方案网络工程交流

GMT+8, 2025-4-30 22:56 , Processed in 0.917123 second(s), 24 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表