Shunze 學園 >資訊設備專區 >Cyberoam > 《分享》無法透過MAC Host擋掉特定主機? 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2332

shunze 離線
《分享》無法透過MAC Host擋掉特定主機?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在Cyberoam的Host Object堨i以定義很多類型的主機,其中包括以網卡來識別的host。
既然可以以網卡來識別不同主機,自然可以用MAC Host為Object來設定對應的防火牆規則。

不過很奇怪的是,在客戶的環境中,以MAC Host設定的防火牆規則居然無效?
非得使用host的IP來進行設定才會發生效果?
這是怎麼回事!?

客戶的環境中,雖然有一個L3 switch在Cyberoam前面做routing,
不過目標主機跟Cyberoam在同一個VLAN網段,且Cyberoam的ARP table可正確取得網卡資訊,
這樣的架構下,透過MAC Host來阻擋理當有效不是嗎?



難道是Cyberoam的bug?


原來這是routing的問題!
客戶的環境中,L3 switch負責各VLAN間的routing,這當然包括Cyberoam這個VLAN。

VLAN中的主機default gateway一律指向L3 switch,
然後再透過L3 switch的default route指向Cyberoam再連外。

而在這樣的routing過程中,雖然source/destination IP固定不變,
但source/destination MAC address卻是一直在改變。



所以VLAN中主機的封包來到Cyberoam時,其來源MAC已不是原來的MAC,
而是置換後的L3 switch的MAC。
因此以該主機的MAC來進行封鎖自然無法發揮預期效果,
這是架構上的問題,不是Cyberoam的bug。


解決方式

  1. 將主機的default gateway改指向Cyberoam,略過L3 switch的routing轉換。
    但這只對跟Cyberoam同VLAN的主機有效。
  2. 在L3 switch中直接下ACL,封鎖該MAC的對外連線。
    這對所有VLAN主機均有效。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2016-03-05, 10:58 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR