Chinaunix

标题: 关于h3c防火墙的地址绑定问题 [打印本页]

作者: tychj 时间: 2008-12-18 10:21
标题: 关于h3c防火墙的地址绑定问题
单位是h3c 1000FS防火墙，想用防火墙根据mac地址来控制上网【或是让某些IP+mac上网，或是让某些IP+mac不能上网】。已经做了mac地址绑定了，但不好用。麻烦大虾们赐教。\r\n我做的方法：\r\n禁止某个电脑上网\r\n firewall mac-binding enable\r\n firewall mac-binding 192.168.0.142 001f-d05d-7c31\r\n firewall mac-binding 192.168.0.156 001f-d055-b821

作者: ssffzz1 时间: 2008-12-18 10:25
1、你把不允许上网的IP 绑定一个错误的MAC 。\r\n2、建议用ARP来做，把不允许上网的IP绑定错误的ARP表项。

作者: tychj 时间: 2008-12-18 10:28
标题: 回复 #2 ssffzz1 的帖子
我试了，但是他们自己改了另外的ip后又能正常上网了。

作者: ssffzz1 时间: 2008-12-18 10:30
了另外的ip后又能正常上\r\n\r\n你绑定了错误的MAC了吗？\r\n\r\n未使用过的IP也要绑定的，给一个错误的MAC即可。

作者: ssffzz1 时间: 2008-12-18 10:32
你看看可否在接口下关闭 ARP 协议。\r\n记得好像是不行。

作者: tychj 时间: 2008-12-18 10:37
标题: 回复 #4 ssffzz1 的帖子
在问一下，用ie的浏览器来配置。页面上有“使能”或“禁止”的按钮。用命令行的结果来看就是差一个firewall mac-binding enable。如果采用你推荐的方法，那么这个地方需要注意么？多谢。

作者: ssffzz1 时间: 2008-12-18 10:39
和这个地方没关系吧。\r\n\r\n不过WEB界面我真的不熟悉。我都是用命令行的。 1000-S 还是比较不错的产品，常见的东西都支持。\r\n刚调了个F1800-A ，2边的设备有N个网段，就是不给对方指路由，搞的我做了N个NAT,差点没晕菜。

作者: kentchoi 时间: 2008-12-18 10:46
当年我做项目，，，教育网的网段一个一个写进去，，，\r\n\r\n真是累死人呢，，，200多个网段，，，后来我的配置成了标准配置\r\n\r\n别人copy过去就行了，，，当时真相拿个手榴弹，，轰过去。。。

作者: tychj 时间: 2008-12-18 10:51
：）\r\n多谢了。以前用过pix，H3C头一次用，比较晕。呵呵。

作者: ssffzz1 时间: 2008-12-18 16:19
不支持。\r\n胡扯哩。支持，不过手头无设备我没法给你命令行。

作者: tychj 时间: 2008-12-18 16:24
标题: 回复 #12 ssffzz1 的帖子
呵呵，我觉得也是胡扯。\r\n我自己再试试，多谢啦，呵呵。

作者: ssffzz1 时间: 2008-12-18 16:28
nat ser static 试试，可能是接口状态。

作者: tychj 时间: 2008-12-18 16:33
标题: 回复 #14 ssffzz1 的帖子
nat static inside ip x.x.x.x global ip x.x.x.x\r\n是这个么？inside不是指的inside区(华为的trust区)吧？dmz区的地址也可以这么设吧？

作者: ssffzz1 时间: 2008-12-18 17:01
应该是的。区域名字只是一个代号。关键是优先级。\r\n另外我没环境不敢保证100%

作者: star65225692 时间: 2008-12-19 01:54
提示: 作者被禁止或删除内容自动屏蔽

作者: tychj 时间: 2008-12-19 17:20
标题: 回复 #16 ssffzz1 的帖子
我用nat server protocol tcp global 这个方法配置的，可以在外网对其进行访问。但是这个电脑却上不了网了，郁闷啊。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)