Jak skonfigurować filtrowanie po adresach MAC w
Transkrypt
Jak skonfigurować filtrowanie po adresach MAC w
. ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Jak skonfigurować filtrowanie po adresach MAC w urządzeniach opartych o system ZyNOS? Poniższy przykład przestawia sposób konfigurowania wbudowanych mechanizmów filtrowania pakietów na urządzeniach ZyXEL’a wyposażonych w system operacyjny ZyNOS. Aby poprawnie skonfigurować filtr należy poznać format pakietu IP. Możemy odrzucać lub przełączać pakiety na podstawie reguł odnoszących się do dowolnego pola (oktetu) w nagłówku IP. W naszym przykładzie wyjaśnimy w jaki sposób korzystać z tego narzędzia budując filtr adresów MAC. Przed przystąpieniem do konfiguracji filtru wyjaśnijmy w jaki sposób bramka widzi nadchodzące pakiety. Zaloguj się do urządzenia z poziomu konsoli lub protokołu telnet. Wybierz menu 24. System Maintenance następnie menu 8. Command Interpreter Mode. Włączmy śledzenie pakietów, wykonajmy komendy: - sys trcp channel enet0 bothway - sys trcp sw on Wygenerujmy ruch do bramki ZyXEL wykonując polecenie ping <adres bramy>. W systemach Microsoft Windows wybieramy Start->Uruchom, wpisujemy cmd. W wierszu poleceń wpisujemy ping 192.168.1.1 (domyślny adres IP). Następnie wyłączamy śledzenie pakietów i wyświetlamy zebrane logi poleceniami: - sys trcp sw off - sys trcp disp Na ekranie pojawią się dane prezentujące zebrane pakiety. Wpis enet0-RECV identyfikuje pakiet przychodzący. W pierwszym wierszu możemy znaleźć informację o docelowym i źródłowym adresie fizycznym. Sekcja podkreślona w powyższym rysunku na pomarańczowy kolor to adres MAC bramki, natomiast fragment podkreślony na czerwono to adres MAC źródłowy, czyli adres fizyczny komputera z jakiego wykonaliśmy polecenie ping. ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 . Łatwo obliczyć, że fragment opisujący adres MAC komputera który chcemy blokować zaczyna się od 7 oktetu i ma długość 6 oktetów. Mając tą wiedzę możemy przystąpić do budowy filtru MAC. Wybieramy menu 21. Filter and Firewall Setup, następnie 1. Filter Setup. Wprowadzamy numer i nazwę filtru np. 1 i Filtr_MAC. Potwierdzamy dane przyciskiem Enter, przechodząc do konfiguracji reguł filtru. Wybieramy numer reguły i potwierdzamy wybór przyciskiem Enter. W Menu Generic Filter Rule wybieramy typ filtru Generic Filter Rule oraz aktywujemy go zaznaczając w polu Active Yes. Następnie wprowadzamy informację, które dane w pakiecie mają być sprawdzane. Ponieważ adres źródłowy zaczyna się od 7 oktetu wprowadzany w polu offset wartość 6. W polu Length wprowadzamy długość adresu MAC czyli w naszym przypadku 6 – adres MAC to 48bitów. W polu Value wpisujemy adres MAC stacji którą chcemy zablokować. Action Matched i Action Not Matched definiują działania jakie zostaną podjęte jeżeli pakiet będzie spełniał daną regułę lub nie będzie jej spełniał. W naszym przypadku chcemy odrzucić pakiety o adresie źródłowym MAC 00-14-22-D7-93-AA, więc zaznaczamy Action Matched Drop. Potwierdzamy zmiany przyciskiem Enter. . ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Ostatni etap to przypisanie filtru do interfejsu. Wchodzimy w Menu 3. LAN Setup, potem 1. LAN Port Filter Setup. W polu Device Filter wpisujemy numer filtru, w naszym przypadku 1. Analogicznie można zbudować filtr umożliwiający dostęp do bramki tylko z określonych, zaufanych stacji roboczych, blokując ruch z innych nieznanych adresów fizycznych.