Jak skonfigurować filtrowanie po adresach MAC w

.
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Jak skonfigurować filtrowanie po adresach MAC w urządzeniach opartych o
system ZyNOS?
Poniższy przykład przestawia sposób konfigurowania wbudowanych mechanizmów filtrowania
pakietów na urządzeniach ZyXEL’a wyposażonych w system operacyjny ZyNOS. Aby poprawnie
skonfigurować filtr należy poznać format pakietu IP. Możemy odrzucać lub przełączać pakiety na podstawie
reguł odnoszących się do dowolnego pola (oktetu) w nagłówku IP.
W naszym przykładzie wyjaśnimy w jaki sposób korzystać z tego narzędzia budując filtr adresów MAC.
Przed przystąpieniem do konfiguracji filtru wyjaśnijmy w jaki sposób bramka widzi nadchodzące pakiety.
Zaloguj się do urządzenia z poziomu konsoli lub protokołu telnet. Wybierz menu 24. System Maintenance
następnie menu 8. Command Interpreter Mode.
Włączmy śledzenie pakietów, wykonajmy komendy:
- sys trcp channel enet0 bothway
- sys trcp sw on
Wygenerujmy ruch do bramki ZyXEL wykonując polecenie ping <adres bramy>.
W systemach Microsoft Windows wybieramy Start->Uruchom, wpisujemy cmd. W wierszu poleceń wpisujemy
ping 192.168.1.1 (domyślny adres IP).
Następnie wyłączamy śledzenie pakietów i wyświetlamy zebrane logi poleceniami:
- sys trcp sw off
- sys trcp disp
Na ekranie pojawią się dane prezentujące zebrane pakiety. Wpis enet0-RECV identyfikuje pakiet przychodzący.
W pierwszym wierszu możemy znaleźć informację o docelowym i źródłowym adresie fizycznym.
Sekcja podkreślona w powyższym rysunku na pomarańczowy kolor to adres MAC bramki, natomiast fragment
podkreślony na czerwono to adres MAC źródłowy, czyli adres fizyczny komputera z jakiego wykonaliśmy
polecenie ping.
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
.
Łatwo obliczyć, że fragment opisujący adres MAC komputera który chcemy blokować zaczyna się od 7 oktetu i
ma długość 6 oktetów.
Mając tą wiedzę możemy przystąpić do budowy filtru MAC.
Wybieramy menu 21. Filter and Firewall Setup, następnie 1. Filter Setup. Wprowadzamy numer i nazwę filtru
np. 1 i Filtr_MAC.
Potwierdzamy dane przyciskiem Enter, przechodząc do konfiguracji reguł filtru. Wybieramy numer reguły i
potwierdzamy wybór przyciskiem Enter.
W Menu Generic Filter Rule wybieramy typ filtru Generic Filter Rule oraz aktywujemy go zaznaczając w polu
Active Yes. Następnie wprowadzamy informację, które dane w pakiecie mają być sprawdzane. Ponieważ adres
źródłowy zaczyna się od 7 oktetu wprowadzany w polu offset wartość 6. W polu Length wprowadzamy długość
adresu MAC czyli w naszym przypadku 6 – adres MAC to 48bitów.
W polu Value wpisujemy adres MAC stacji którą chcemy zablokować.
Action Matched i Action Not Matched definiują działania jakie zostaną podjęte jeżeli pakiet będzie spełniał daną
regułę lub nie będzie jej spełniał. W naszym przypadku chcemy odrzucić pakiety o adresie źródłowym MAC
00-14-22-D7-93-AA, więc zaznaczamy Action Matched Drop.
Potwierdzamy zmiany przyciskiem Enter.
.
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Ostatni etap to przypisanie filtru do interfejsu. Wchodzimy w Menu 3. LAN Setup, potem 1. LAN Port
Filter Setup.
W polu Device Filter wpisujemy numer filtru, w naszym przypadku 1.
Analogicznie można zbudować filtr umożliwiający dostęp do bramki tylko z określonych, zaufanych stacji
roboczych, blokując ruch z innych nieznanych adresów fizycznych.