有什么办法可以让防火墙识别出某个品牌的路由器并允许其通过呢?

2014-11-13 22:03:01 +08:00
 bobopu
貌似有些异想天开。如果某台服务器只想让某个品牌的路由器用户连接该怎么做,能否在防火墙上实现识别呢?不过这似乎又牵扯到该路由器是否有什么网络特征之类的吧。。。
3541 次点击
所在节点    Linux
16 条回复
choury
2014-11-13 22:16:17 +08:00
可以识别mac地址
bobopu
2014-11-13 22:21:49 +08:00
@choury 同一品牌的路由器mac地址也不同吧。
choury
2014-11-13 22:25:43 +08:00
@bobopu 怎么会有两个设备mac地址相同呢?
lshero
2014-11-13 22:32:33 +08:00
@bobopu 正儿八经的MAC地址都是按厂商分配的 但是MAC很好伪造
http://mac.51240.com/6C-E8-73-62-E4-B4__mac/
sxin
2014-11-13 22:34:44 +08:00
@bobopu 默认情况下,品牌路由器都有固定的MAC地址段,像TP-LINK:
http://hwaddress.com/?q=TP-LINK%20Technologies%20Co.,Ltd.

但这个的确很容易伪造。
bobopu
2014-11-13 22:45:27 +08:00
@lshero
@sxin 那么如何在防火墙中设置对TPLINK路由器的MAC地址段放行呢?
lshero
2014-11-13 23:36:40 +08:00
防火墙充当网关做NAT 写一个脚本定时获取客户端的MAC地址 然后调用外部的数据源比对MAC品牌,最后利用iptables 禁用MAC,但是怎么感觉没有意义和应用场景呢
ryd994
2014-11-14 01:13:44 +08:00
dscp?
gamexg
2014-11-14 10:02:48 +08:00
路由器都带克隆mac地址功能(也可修改),秒破。
bobopu
2014-11-14 10:07:46 +08:00
@gamexg
@lshero 这个也就是防君子不防小人,防小白不防大虾了。如果说说限制某个品牌路由器的mac地址有难度,也可以用户通过提交自己的MAC地址加入防火墙的白名单的方式进入服务器,至于要克隆mac地址,首先得知道白名单用户的mac地址吧。
ehs2013
2014-11-14 20:55:40 +08:00
@bobopu 那限制什么品牌,直接限制到极少的MAC地址能访问不就好了
gamexg
2014-11-14 21:12:33 +08:00
限制 mac 必须在局域网环境下才行。不清楚你的环境,感觉除非用vlan端口隔离,不然获得局域网其他计算机的mac地址太简单了。
bobopu
2014-11-14 21:15:26 +08:00
@ehs2013
@gamexg 广域网不能限制mac地址吗?
gamexg
2014-11-14 21:21:39 +08:00
经过一次路由器包的mac地址就变成路由器出口mac地址了,每经过一次路由器都会有这么一个变化。
到目的地mac地址是对方上一级路由器的地址...
bobopu
2014-11-14 21:38:51 +08:00
@gamexg 原来这样子啊,唉,看来没戏了。。
cmheia
2015-02-02 15:49:43 +08:00
很好奇为啥这帖子被墙了,特地翻过来看看😓

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/146312

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX