[原创]vik-2.1应用Bridge Filter限制MAC实例

goingchan

LBHIDDEN[0]LBHIDDEN[这个贴子最后由goingchan在 2004/07/28 06:35pm 第 3 次编辑]

[watermark]转载本文请注明作者、出处
viking系列的vik-2.1版本FW推出已经有一段时间了，相信很多朋友已经在用了。2.1版的一项重要更新是在WEB管理界面上开放了Bridge Filter(桥接过滤)。记得在后期的vik-1.38版的CLI里就已经有Bridge Filter的相关命令的了(刚核实了一下，原来1.37也有的)，只是用命令行设置的话，命令太长，查看和管理十分不便。现在在WEB管理上开放了Bridge Filter、vik-2.1也普及了(其实还要我有空才行嘛)，所以我就决出写出这个教程了。
由于Bridge Filter涉及到帧格式、封包等相当多基础概念，要把相关概念一一阐述清楚恐怕要发好几十帖，也不乎合大多数朋友的需求，所以我决定写这个较常用到的实例。
下边就开始应用Bridge Filter限制MAC的教程(本教程以vik-2.1.040311c为例)：
假设要禁止MAC地址为 00:AA:AA:AA:AA:AA的用户访问
1、当然要登录到modem的管理界面了
2、打开Services的Bridge Filter页
3、在最下方点Add添加规则
Rule ID:100 (这个只设定为100以后)
Interface:Private
Direction:Incoming
Action:Deny
Log Option:Disable
然后Submit提交
4、在刚添加的规则那一行会有一个Add Subrule的钮，点添加子规则
Subrule ID:1
Offset:6
Offset From:Link Header
Mask:FFFFFFFFFFFF (12个F)
Cmp.Type:eq
Lower Value:00AAAAAAAAAA (就是你要禁止的那个MAC去了“:”)
然后Submit提交
5、点刚添加的规则(100那个)那一行的笔型图标，打开modify窗口，把Status置为Enable，submit提交
6、回到Bridge Filter的主页面，在最上边，把Default Action设置为Accept，设置Enable，然后在页面最下方点Submit
规则已经生效了，最后别忘了保存。
Bridge Filter其实不只是用来限制MAC的，熟悉帧格式和封包格式的话，还能对其它链路层以上的协议作限制，Bridge Filter的其它应用，以后有机会再讨论吧。。。
------------------------------------------------------
下边是在命令行方式下实现上边例子的命令
create pfraw rule entry ruleid 100 ifname eth-0 dir in enable log disable act deny
create pfraw subrule entry ruleid 100 subruleid 1 start linkh offset 6 mask 0xffffffffffff cmpt eq 0x00AAAAAAAAAA enable
modify pfraw global enable accept
commit
[/watermark]

AMD

goingchan版主，原来你搞了一个晚上，就是在做这个啊！！！

    辛苦你了，有象你这样的人论坛可以发展得更加的好啊！！！

foxzenith

感谢~
受教了```good

yanjiedd

好