有什么办法可以让防火墙识别出某个品牌的路由器并允许其通过呢？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 3654 天前的主题，其中的信息可能已经有所发展或是发生改变。

貌似有些异想天开。如果某台服务器只想让某个品牌的路由器用户连接该怎么做，能否在防火墙上实现识别呢？不过这似乎又牵扯到该路由器是否有什么网络特征之类的吧。。。

防火墙

路由器

识别

16 条回复 • 2015-02-02 15:49:43 +08:00

choury

2014-11-13 22:16:17 +08:00

可以识别mac地址

bobopu

2014-11-13 22:21:49 +08:00

@choury 同一品牌的路由器mac地址也不同吧。

choury

2014-11-13 22:25:43 +08:00

@bobopu 怎么会有两个设备mac地址相同呢？

lshero

2014-11-13 22:32:33 +08:00

@bobopu 正儿八经的MAC地址都是按厂商分配的但是MAC很好伪造
http://mac.51240.com/6C-E8-73-62-E4-B4__mac/

sxin

2014-11-13 22:34:44 +08:00

@bobopu 默认情况下，品牌路由器都有固定的MAC地址段，像TP-LINK:
http://hwaddress.com/?q=TP-LINK%20Technologies%20Co.,Ltd.

但这个的确很容易伪造。

bobopu

2014-11-13 22:45:27 +08:00

@lshero
@sxin 那么如何在防火墙中设置对TPLINK路由器的MAC地址段放行呢？

lshero

2014-11-13 23:36:40 +08:00

防火墙充当网关做NAT 写一个脚本定时获取客户端的MAC地址然后调用外部的数据源比对MAC品牌，最后利用iptables 禁用MAC，但是怎么感觉没有意义和应用场景呢

ryd994

2014-11-14 01:13:44 +08:00

dscp?

gamexg

2014-11-14 10:02:48 +08:00

路由器都带克隆mac地址功能(也可修改)，秒破。

bobopu

2014-11-14 10:07:46 +08:00

@gamexg
@lshero 这个也就是防君子不防小人，防小白不防大虾了。如果说说限制某个品牌路由器的mac地址有难度，也可以用户通过提交自己的MAC地址加入防火墙的白名单的方式进入服务器，至于要克隆mac地址，首先得知道白名单用户的mac地址吧。

ehs2013

2014-11-14 20:55:40 +08:00

@bobopu 那限制什么品牌，直接限制到极少的MAC地址能访问不就好了

gamexg

2014-11-14 21:12:33 +08:00

限制 mac 必须在局域网环境下才行。不清楚你的环境，感觉除非用vlan端口隔离，不然获得局域网其他计算机的mac地址太简单了。

bobopu

2014-11-14 21:15:26 +08:00 via iPhone

@ehs2013
@gamexg 广域网不能限制mac地址吗？

gamexg

2014-11-14 21:21:39 +08:00

经过一次路由器包的mac地址就变成路由器出口mac地址了，每经过一次路由器都会有这么一个变化。
到目的地mac地址是对方上一级路由器的地址...

bobopu

2014-11-14 21:38:51 +08:00

@gamexg 原来这样子啊，唉，看来没戏了。。

cmheia

2015-02-02 15:49:43 +08:00 via Android

很好奇为啥这帖子被墙了，特地翻过来看看😓