viking系列的vik-2.1版本FW推出已经有一段时间了,相信很多朋友已经在用了。2.1版的一项重要更新是在WEB管理界面上开放了Bridge Filter(桥接过滤)。记得在后期的vik-1.38版的CLI里就已经有Bridge Filter的相关命令的了(刚核实了一下,原来1.37也有的),只是用命令行设置的话,命令太长,查看和管理十分不便。现在在WEB管理上开放了Bridge Filter、vik-2.1也普及了(其实还要我有空才行嘛),所以我就决出写出这个教程了。
由于Bridge Filter涉及到帧格式、封包等相当多基础概念,要把相关概念一一阐述清楚恐怕要发好几十帖,也不乎合大多数朋友的需求,所以我决定写这个较常用到的实例。
下边就开始应用Bridge Filter限制MAC的教程(本教程以vik-2.1.040311c为例):
假设要禁止MAC地址为 00:AA:AA:AA:AA:AA的用户访问
1、当然要登录到modem的管理界面了
2、打开Services的Bridge Filter页:
3、在最下方点Add添加规则
Rule ID:100 (这个只设定为100以后)
Interface:Private
Direction:Incoming
Action:Deny
Log Option:Disable
然后Submit提交
4、在刚添加的规则那一行会有一个Add Subrule的钮,点添加子规则
Subrule ID:1
Offset:6
Offset From:Link Header
Mask:FFFFFFFFFFFF (12个F)
Cmp.Type:eq
Lower value:00AAAAAAAAAA (就是你要禁止的那个MAC去了“:”)
然后Submit提交
5、点刚添加的规则(100那个)那一行的笔型图标,打开modify窗口,把Status置为Enable,submit提交
6、回到Bridge Filter的主页面,在最上边,把Default Action设置为Accept,设置Enable,然后在页面最下方点Submit
规则已经生效了,最后别忘了保存。
Bridge Filter其实不只是用来限制MAC的,熟悉帧格式和封包格式的话,还能对其它链路层以上的协议作限制,Bridge Filter的其它应用,以后有机会再讨论吧。。。
下边是在命令行方式下实现上边例子的命令
create pfraw rule entry ruleid 100 ifname eth-0 dir in enable log disable act deny
create pfraw subrule entry ruleid 100 subruleid 1 start linkh offset 6 mask 0xffffffffffff cmpt eq 0x00AAAAAAAAAA enable
modify pfraw global enable accept
commit
标签: 硬件
