简单的管理型交换机能限制局域网IP互访吗？

水木社区手机版

主题:简单的管理型交换机能限制局域网IP互访吗？
10楼|Siegelion|2020-09-27 17:15:48|只看此ID
确实可以做MAC的ACL

但0.1的MAC和0.254一样，我自己在用0.254，所以屏蔽0.1的MAC，也用不了0.254了

其实是想限制别人，不要自己手动设置个IP，就通过0.1这条线路出去，但我可以用0.254

btw:主要是因为这条线的路由器奇葩，LAN不能改IP，还占用了0.1和0.254两个

【在 rayray (贝贝) 的大作中提到: 】
: 把192.168.0.1的mac地址放到目的mac的黑名单里
--
FROM 117.131.179.*
11楼|Siegelion|2020-09-27 17:19:13|只看此ID
看来要好好想一想怎么做个策略限制别人访问，但自己又能用。。。

【在 wincss (wincss) 的大作中提到: 】
: 二层的事情就要用 MAC 地址限制了，你得自己找找有没有相关的配置
--
FROM 117.131.179.*
12楼|wincss|2020-09-27 17:38:59|只看此ID
可以给你自己开个白名单啊。。。（如果可以的话）

【在 Siegelion (攻城狮) 的大作中提到: 】
: 确实可以做MAC的ACL
: 但0.1的MAC和0.254一样，我自己在用0.254，所以屏蔽0.1的MAC，也用不了0.254了
: 其实是想限制别人，不要自己手动设置个IP，就通过0.1这条线路出去，但我可以用0.254
: ...................
--
FROM 114.242.33.*
13楼|rayray|2020-09-27 17:58:34|只看此ID
你的router在同一个物理接口上设了两个不同的IP地址？
那使用0.1和0.254会有什么不同么？
非要弄那你运行个arp spoofing的软件，让人家把0.1的MAC地址学习到一个不存在的地址上去
【在 Siegelion 的大作中提到: 】
: 确实可以做MAC的ACL
: 但0.1的MAC和0.254一样，我自己在用0.254，所以屏蔽0.1的MAC，也用不了0.254了
: 其实是想限制别人，不要自己手动设置个IP，就通过0.1这条线路出去，但我可以用0.254
: ...................
--
FROM 91.217.199.*
14楼|Siegelion|2020-09-27 18:01:16|只看此ID
主要是这条线路的路由功能太简易(胜在稳定性)，否则我就在路由上做设置了
但也有个问题，我希望自己随便接入时，自己都能用这条线出去，
而不要每次都得上去调黑名单白名单的规则

以前我用另一个小破路由的时候，是改个不常用的IP，比如192.168.0.66
不会有人轻易把这个做网关，但现在是192.168.0.1还不能改，很容易被发现能用。。

【在 wincss (wincss) 的大作中提到: 】
: 可以给你自己开个白名单啊。。。（如果可以的话）
--
FROM 117.131.179.*
15楼|Siegelion|2020-09-27 18:06:33|只看此ID
这个路由自己的设定，我偶然扫局域网MAC时发现有冲突项，IP是254
试了试.254确实可以访问管理web页也可以做网关出去，根本没法调整

这个破路由不能改网段，也不能改LAN的IP，任何改动都会自动还原成0.1
所以想在交换机上做限制

我现在唯一想到的办法是做个MAC的ACL，然后绑定交换机端口，
除了我连的物理端口，其他端口都不能访问它的MAC……感觉这个方式很暴力

主要还是我不会设置VLAN，可能用VLAN控制访问更高级一些？

【在 rayray (贝贝) 的大作中提到: 】
: 你的router在同一个物理接口上设了两个不同的IP地址？
: 那使用0.1和0.254会有什么不同么？
: 非要弄那你运行个arp spoofing的软件，让人家把0.1的MAC地址学习到一个不存在的地址上去
: ...................
--
FROM 117.131.179.*
16楼|pyer|2020-09-28 19:47:55|只看此ID
思路错了，网关上加ebtables规则，只放行你的包
【在 Siegelion 的大作中提到: 】
: 问题来了，192.168.0.1是网关，已经在交换机禁止了局域网对它的访问
: 现在ping不通，web也无法访问管理页面，看似禁止了，但用.1做网关还可以上外网！
: 局域网里有多个网关，我的目的是禁止别人用.1当网关上网，用其他的网关
: ...................
--
FROM 223.104.66.*
17楼|Siegelion|2020-09-29 12:03:54|只看此ID
网关上有这个功能就好了……
这个网关路由的逻辑设计太差了，DHCP也不能关，
只能把上下限设反了，让它自相矛盾而失效，但DNS还是玩命的自动分配
即使在交换机上做规则把它的MAC屏蔽访问也不行，还是能自动分配到它的DNS
【在 pyer (拍耳) 的大作中提到: 】
: 思路错了，网关上加ebtables规则，只放行你的包
--
FROM 117.131.179.*
18楼|pyer|2020-09-29 12:27:04|只看此ID
再加一层网关做隔离
【在 Siegelion 的大作中提到: 】
: 网关上有这个功能就好了……
: 这个网关路由的逻辑设计太差了，DHCP也不能关，
: 只能把上下限设反了，让它自相矛盾而失效，但DNS还是玩命的自动分配
: ...................
--
FROM 58.250.8.*
19楼|Siegelion|2020-09-29 12:32:01|只看此ID
有这么多设备还纠结什么？不就是不想花钱利用现有的东西么。。
【在 pyer (拍耳) 的大作中提到: 】
: 再加一层网关做隔离
--
FROM 117.131.179.*