V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
bobopu
V2EX  ›  Linux

有什么办法可以让防火墙识别出某个品牌的路由器并允许其通过呢?

  •  
  •   bobopu · 2014-11-13 22:03:01 +08:00 · 3545 次点击
    这是一个创建于 3667 天前的主题,其中的信息可能已经有所发展或是发生改变。
    貌似有些异想天开。如果某台服务器只想让某个品牌的路由器用户连接该怎么做,能否在防火墙上实现识别呢?不过这似乎又牵扯到该路由器是否有什么网络特征之类的吧。。。
    16 条回复    2015-02-02 15:49:43 +08:00
    choury
        1
    choury  
       2014-11-13 22:16:17 +08:00
    可以识别mac地址
    bobopu
        2
    bobopu  
    OP
       2014-11-13 22:21:49 +08:00
    @choury 同一品牌的路由器mac地址也不同吧。
    choury
        3
    choury  
       2014-11-13 22:25:43 +08:00
    @bobopu 怎么会有两个设备mac地址相同呢?
    lshero
        4
    lshero  
       2014-11-13 22:32:33 +08:00
    @bobopu 正儿八经的MAC地址都是按厂商分配的 但是MAC很好伪造
    http://mac.51240.com/6C-E8-73-62-E4-B4__mac/
    sxin
        5
    sxin  
       2014-11-13 22:34:44 +08:00   ❤️ 1
    @bobopu 默认情况下,品牌路由器都有固定的MAC地址段,像TP-LINK:
    http://hwaddress.com/?q=TP-LINK%20Technologies%20Co.,Ltd.

    但这个的确很容易伪造。
    bobopu
        6
    bobopu  
    OP
       2014-11-13 22:45:27 +08:00
    @lshero
    @sxin 那么如何在防火墙中设置对TPLINK路由器的MAC地址段放行呢?
    lshero
        7
    lshero  
       2014-11-13 23:36:40 +08:00   ❤️ 1
    防火墙充当网关做NAT 写一个脚本定时获取客户端的MAC地址 然后调用外部的数据源比对MAC品牌,最后利用iptables 禁用MAC,但是怎么感觉没有意义和应用场景呢
    ryd994
        8
    ryd994  
       2014-11-14 01:13:44 +08:00
    dscp?
    gamexg
        9
    gamexg  
       2014-11-14 10:02:48 +08:00
    路由器都带克隆mac地址功能(也可修改),秒破。
    bobopu
        10
    bobopu  
    OP
       2014-11-14 10:07:46 +08:00
    @gamexg
    @lshero 这个也就是防君子不防小人,防小白不防大虾了。如果说说限制某个品牌路由器的mac地址有难度,也可以用户通过提交自己的MAC地址加入防火墙的白名单的方式进入服务器,至于要克隆mac地址,首先得知道白名单用户的mac地址吧。
    ehs2013
        11
    ehs2013  
       2014-11-14 20:55:40 +08:00
    @bobopu 那限制什么品牌,直接限制到极少的MAC地址能访问不就好了
    gamexg
        12
    gamexg  
       2014-11-14 21:12:33 +08:00
    限制 mac 必须在局域网环境下才行。不清楚你的环境,感觉除非用vlan端口隔离,不然获得局域网其他计算机的mac地址太简单了。
    bobopu
        13
    bobopu  
    OP
       2014-11-14 21:15:26 +08:00 via iPhone
    @ehs2013
    @gamexg 广域网不能限制mac地址吗?
    gamexg
        14
    gamexg  
       2014-11-14 21:21:39 +08:00   ❤️ 1
    经过一次路由器包的mac地址就变成路由器出口mac地址了,每经过一次路由器都会有这么一个变化。
    到目的地mac地址是对方上一级路由器的地址...
    bobopu
        15
    bobopu  
    OP
       2014-11-14 21:38:51 +08:00
    @gamexg 原来这样子啊,唉,看来没戏了。。
    cmheia
        16
    cmheia  
       2015-02-02 15:49:43 +08:00 via Android
    很好奇为啥这帖子被墙了,特地翻过来看看😓
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1964 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 16:20 · PVG 00:20 · LAX 08:20 · JFK 11:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.