這類文章網上很多了,所以本篇是寫給我自己看的。
談到Firewall的IP/MAC綁定,先說明其功用。所謂IP/MAC綁定,即是IP/MAC Binding,意思是檢查到達Firewall並要出去外網的IP封包,是否附合指定的MAC。更簡單來說,指定的電腦要配合管理員指定的IP,才能通過Firewall出去外網。
通常幾步要做。
一‧ 設定DHCP Server
就是因應不同上網設備(或更深層地說,是網卡),給他們指定固定的內網IP,在IP/MAC綁定上是必要的,如果DHCP Server本身不能派給上網設備一個指定的IP,可能讓設備本身得不到正確的IP而不能上網。當然,就算不做IP/MAC綁定也好,為了方便Firewall Policy的設置,也應該做一個DHCP指定IP的設定。設定步驟如下:
打開Console
>config system dhcp reserved-address
>edit Ivan-Computer
>set ip 192.168.1.100
>set mac 00:aa:bb:cc:dd:ee
>end
二. 設定IP/MAC Binding table
設定好DHCP reserved table之後,就要設定IP/MAC Binding table。這個表記載著MAC與IP的配對資料。設定步驟如下:
打開Console
>config firewall ipmacbinding table
>edit 1 (註: 用數字作為id)
>set ip 192.168.1.100
>set mac 00:aa:bb:cc:dd:ee
>set name Ivan-Computer
>set status enable
>end
三. 啟動Firewall上的IP/MAC Bindnig
DHCP和IPMAC Binding 的表都設置完成後,就可以啟動Firewall上的IP/MAC Binding。
設置步驟如下:
打開Console
>config firewall ipmacbinding setting
>set bindthroughfw enable (對出外網的連線作檢查)
>set bindtofw enable (對存取Firewall的連線作檢查)
>set undefinedhost block (對不符合IP/MAC的連線,拒絕)
>end
四. 對內網的設備啟動ipmac bind
不啟動就不會做檢查了
>config system interface
>edit internal
>set ipmac enable
>end
上方的internal 要視乎你要啟用那一個內網接口,如果你全部接在Internal1,則就設定internal1
設置完成。
心得:本篇介紹了設置DHCP和IP/MAC Binding,在設置上有些需要留神的,例如因為要更改客戶設備的IP,最好等用戶都關機後再做,讓他們重新派IP,若不能停的話,就要小心注意IP衝突問題。另外,就算設置了DHCP表,如果有不認識的電腦連結到內網,DHCP也可能派發IP,所以你要小心注意你DHCP Server上派發IP的範圍。
還有就是,以上這些設置,都是防火牆和客戶端中間的關聯,如果有 Server在同一個內網段中,則用戶還是可以自己設定IP,連上這些Server而不受防火牆限制呢。
1 則留言:
如果要解除鎖定
那指定要怎麼下呢?
張貼留言