POPPUR爱换

标题: 路由器上可否限制新接入机器访问局域网 [打印本页]

作者: aspoo 时间: 2012-3-7 12:16
标题: 路由器上可否限制新接入机器访问局域网
试过可以限制新接入的机器访问互联网，不知道能否设置局域网访问？？？

用的dlink di 7001的路由器，还有个刷tt的linksys路由可用

作者: 1yanmin1 时间: 2012-3-7 12:58
本帖最后由 1yanmin1 于 2012-3-7 12:58 编辑

当然可以，专业的做法是在二层交换机上绑定MAC之类
如果是非专业的环境，可以考虑通过控制DHCP发放数量来，比如5台电脑，那么就只发放5个IP，同时对5个IP做静态MAC地址绑定，这样就可以杜绝新机器来占用了。但是新机器可以自行设置正确的IP及掩码、网关来使用，那么就在网关上加载访问列表，使非正确IP不能通信。

总之实现的方法很多，企业级的设备与家用级的区别就在于稳定和可管理可控制

作者: kk0kk 时间: 2012-3-7 12:58
提示: 作者被禁止或删除内容自动屏蔽

作者: jForce 时间: 2012-3-7 16:20
不过网关，二层内控制不到
话说，用防火墙，透明模式可以阻拦

作者: aspoo 时间: 2012-3-7 18:10
mac过滤是否能做到防止新接入机器访问局域网？

作者: 1yanmin1 时间: 2012-3-7 19:04
你没有具体说明你的设备和环境。我不知道该怎么说。
如果你是家用环境，那么在路由器里设置只允许如下MAC接入
如果你是企业的环境，那么在2层交换机上做端口安全策略，只允许合法mac接入，否则端口shutdown。

还有如果你是想防止无线接入，那么就在无线设备上做安全策略

作者: aboutblank 时间: 2012-3-7 22:00
支持802.1x么...要支持的话那个玩意最好了

作者: aspoo 时间: 2012-3-8 00:49

1yanmin1 发表于 2012-3-7 19:04
你没有具体说明你的设备和环境。我不知道该怎么说。
如果你是家用环境，那么在路由器里设置只允许如下MAC接 ...

交换机上做安全策略是不是需要网管型交换机才行呢？

作者: 1yanmin1 时间: 2012-3-8 00:52
是的。

作者: cardcaptor 时间: 2012-3-8 12:48
要阻止接入局域网的话。只能用2层或者3层交换机，可以管理端口的，直接将交换机端口关闭即可，

作者: diablo_zzy 时间: 2012-3-8 13:06
本帖最后由 diablo_zzy 于 2012-3-8 13:08 编辑

瞎猜的设想：把电脑的arp列表改了，把局域网内其他电脑的ip都解析成本机mac或者乱填一个mac。
那些说 mac过滤的，关闭dhcp的，根本没明白楼主的意思么。

作者: 1yanmin1 时间: 2012-3-8 14:21

diablo_zzy 发表于 2012-3-8 13:06
瞎猜的设想：把电脑的arp列表改了，把局域网内其他电脑的ip都解析成本机mac或者乱填一个mac。
那些说 mac过 ...

你这种方式，就如同ARP病毒的工作原理，只是现在防止也很容易，网关限制arp包，终端arp静态设置等等，方法多的去了。

作者: diablo_zzy 时间: 2012-3-8 14:41
本帖最后由 diablo_zzy 于 2012-3-8 15:02 编辑

1yanmin1 发表于 2012-3-8 14:21
你这种方式，就如同ARP病毒的工作原理，只是现在防止也很容易，网关限制arp包，终端arp静态设置等等，方 ...

本来就是在自己的电脑上静态设置错误的arp列表来防止局域网访问，和网关限制arp包什么的完全没关系。一般的arp病毒是混淆出口网关的mac地址，现在的做法是混淆局域网内其他电脑的mac地址。再说，你搞了反ARP病毒的措施不就没效果了？
现在楼主的意图很明显了，如果楼主能操作每一台局域网内的电脑，那这个办法明显有效么

作者: DLINKSERVICE 时间: 2012-3-8 19:49
如果是7001的话，设置的方法是，现在内网扩展另外一个网段，例如本身内网是192.168.0.1/24，那就在扩展一个192.168.2.1/24，然后本身局域网用0网段，新接入的用2网段，然后再路由器的防火墙设置里面写规则，写禁止的规则，接口选择LAN, 目的地址写网络192.168.0.1/255.255.255.0, 源地址网络写192.168.2.0/255.255.255.0，这样2网段就可以上网但是不能访问到0网段

作者: jForce 时间: 2012-3-11 00:31
关闭端口不可控
别人在没关的挂一台交换机就可破解
只有绑定MAC。
话说做802.1x就不错
还有个办法，per port per vlan，端口之间的互访必须要过三层，在每个三层上加vlan acl

欢迎光临 POPPUR爱换 (https://we.poppur.com/)