У меня EdgeRouter X с Linux (EdgeOS) на борту, поэтому, когда я создал новый DHCP-сервер для VLAN, я зарезервировал (сопоставил IP-адрес с MAC-адресом) несколько IP-адресов, чтобы мои устройства могли обходить правила брандмауэра и делать корректировка конфигурации; для всех остальных, кто пытается подключиться к маршрутизатору, брандмауэр просто сбрасывает соединение. Но я все еще могу подключиться к маршрутизатору, используя другие устройства, вручную введя зарезервированный IP-адрес. Есть ли способ запретить маршрутизатору назначать зарезервированный IP для устройств, MAC-адрес которых не соответствует сопоставленному?
2 ответа
Когда вы вручную назначаете IP-адрес устройству, вы не используете DHCP, и поскольку вы основываете свои правила брандмауэра на IP-адресе устройства, любое устройство, которому вручную назначен адрес в вашем правиле, будет разрешено использовать его. Если вы хотите создать правила брандмауэра для определенных устройств, вы должны сделать их на основе MAC-адреса. Эта ссылка может вам помочь. https://community.ubnt.com/t5/EdgeMAX/Mac-filtering-list/td-p/498197
DHCP по своей сути не обеспечивает безопасность. Закрытие будет избегать дублирования IP-адресов. Все сети могут вручную настраивать статический IP-адрес на своем устройстве, которое уже используется для какой-либо другой авторизованной цели. Лучший способ узнать, что происходит, - это использовать ваше IP-адрес на вашем устройстве. Это позволит вам увидеть предупреждение о дублировании IP-адреса, чтобы узнать, что кто-то использует неправильный адрес.
С учетом вышесказанного, ваша EdgeOS может иметь функции безопасности, которые могут идентифицировать неправильный MAC-адрес, связанный с зарезервированным IP-адресом, и уведомлять вас о возможном блокировании подключений к нему. Однако, если ваша EdgeOS не будет тесно интегрирована с вашим сетевым коммутатором и не сможет отключить порт коммутатора, невозможно будет фактически остановить устройство от использования зарезервированного IP-адреса без авторизации.