水木社区手机版
- 主题:简单的管理型交换机能限制局域网IP互访吗?
- 交换机是H3C的S1626,很老的机架式企业交换机,但不是电信级的,有一定管理功能
一直当做傻交换机用,现在想禁止所有LAN IP对192.168.0.1这个网关的访问
没找到设置的地方,其他功能看着都比较复杂
--
修改:Siegelion FROM 117.131.179.*
FROM 117.131.179.* - 有,但不知道为什么,设置目的IP是0.1后,下面生成的规则是192.168.0.0
【 在 rayray (贝贝) 的大作中提到: 】
: 看有没有ACL功能
--
FROM 117.131.179.* - 看明白了,以为按照那个例子填就行……
全是0就匹配所有位,可以具体到填入的那个IP
我说怎么0.0.0.255时IP地址填什么最后都是整个网段
【 在 rayray (贝贝) 的大作中提到: 】
: 提示说了反掩码要选全0 是全匹配啊
--
FROM 117.131.179.* - 问题来了,192.168.0.1是网关,已经在交换机禁止了局域网对它的访问
现在ping不通,web也无法访问管理页面,看似禁止了,但用.1做网关还可以上外网!
局域网里有多个网关,我的目的是禁止别人用.1当网关上网,用其他的网关
【 在 rayray (贝贝) 的大作中提到: 】
: 提示说了反掩码要选全0 是全匹配啊
--
FROM 117.131.179.* - 原来是这样。。。那有没有办法禁止局域网通过这个IP做网关上网?
这个路由太奇葩,不能改IP,还占用了0.1和0.254两个IP
我自己用0.254做网关出去,同时想让别人用0.1做网关时出不去(还有其他网关能上网)
【 在 wincss (wincss) 的大作中提到: 】
: “用网关”是二层的。。。你这个禁止是三层的。。。
--
FROM 117.131.179.* - 确实可以做MAC的ACL
但0.1的MAC和0.254一样,我自己在用0.254,所以屏蔽0.1的MAC,也用不了0.254了
其实是想限制别人,不要自己手动设置个IP,就通过0.1这条线路出去,但我可以用0.254
btw:主要是因为这条线的路由器奇葩,LAN不能改IP,还占用了0.1和0.254两个
【 在 rayray (贝贝) 的大作中提到: 】
: 把192.168.0.1的mac地址放到目的mac的黑名单里
--
FROM 117.131.179.* - 看来要好好想一想怎么做个策略限制别人访问,但自己又能用。。。
【 在 wincss (wincss) 的大作中提到: 】
: 二层的事情就要用 MAC 地址限制了,你得自己找找有没有相关的配置
--
FROM 117.131.179.* - 主要是这条线路的路由功能太简易(胜在稳定性),否则我就在路由上做设置了
但也有个问题,我希望自己随便接入时,自己都能用这条线出去,
而不要每次都得上去调黑名单白名单的规则
以前我用另一个小破路由的时候,是改个不常用的IP,比如192.168.0.66
不会有人轻易把这个做网关,但现在是192.168.0.1还不能改,很容易被发现能用。。
【 在 wincss (wincss) 的大作中提到: 】
: 可以给你自己开个白名单啊。。。(如果可以的话)
--
FROM 117.131.179.* - 这个路由自己的设定,我偶然扫局域网MAC时发现有冲突项,IP是254
试了试.254确实可以访问管理web页也可以做网关出去,根本没法调整
这个破路由不能改网段,也不能改LAN的IP,任何改动都会自动还原成0.1
所以想在交换机上做限制
我现在唯一想到的办法是做个MAC的ACL,然后绑定交换机端口,
除了我连的物理端口,其他端口都不能访问它的MAC……感觉这个方式很暴力
主要还是我不会设置VLAN,可能用VLAN控制访问更高级一些?
【 在 rayray (贝贝) 的大作中提到: 】
: 你的router在同一个物理接口上设了两个不同的IP地址?
: 那使用0.1和0.254会有什么不同么?
: 非要弄那你运行个arp spoofing的软件,让人家把0.1的MAC地址学习到一个不存在的地址上去
: ...................
--
FROM 117.131.179.* - 网关上有这个功能就好了……
这个网关路由的逻辑设计太差了,DHCP也不能关,
只能把上下限设反了,让它自相矛盾而失效,但DNS还是玩命的自动分配
即使在交换机上做规则把它的MAC屏蔽访问也不行,还是能自动分配到它的DNS
【 在 pyer (拍耳) 的大作中提到: 】
: 思路错了,网关上加ebtables规则,只放行你的包
--
FROM 117.131.179.*