MAC 어드레스를 기준으로 사용 가능한 IP를 제한하는 방법이 있을까요?

자유게시판 more

검색 목록

쓰기

MAC 어드레스를 기준으로 사용 가능한 IP를 제한하는 방법이 있을까요?

강민준1

2020-09

2020-09-30 23:22:27

조회 3770 추천 0

안녕Ȣ16;세요,

현1116; 네트워크 구성1060; 다1020;과 같1008; 상황1077;니다.

------------------------------------------
외ǥ12;ኖ1; ---> 특1221; IP 차단(0169;화ǣ17;) 용 브ና1;1648; CentOS 머신 ---> Ǻ16;매니1648;드 스위치 ---> 호스트 머신들 (약 100대 가량)
------------------------------------------

호스트 머신1032; MAC에 따라서 사용 가능한 IP1032; 1228;한1012; .160;고 ǳ10;습니다.

아무래도 IP 차단용 브ና1;1648; 머신에서 1060;,152; 해결 가능할 ,163; 같1008;데요,
가능Ȣ16;면 추가 1109;비를 들1060;1648; 않고 해결할 수 1080;었1004;면 1339;,192;습니다.

VLAN 구성1012; Ȣ16;면 .104;나 알아봤ǉ16;데 1060;/111;,172; 아1060;피 Ȣ16;나Ȣ16;나를 다르,172; 할Ǌ17;Ȣ16;기 위해서ǉ16; 1201;합Ȣ16;1648; 않1008; ,163; 처/100; 보1060;더라구요.

브ና1;1648; 머신1032; iptables에서 IP와 MAC1012; 매칭시킬 수 1080;나 찾아봤ǉ16;데 1060;런 0169;법도 1096; 보1060;1648; 않구요.

호스트 머신들1060; 공1064;아1060;피를 사용해야 Ȣ16;ǉ16; 상황1060;라 NAT 구성도 Ǻ12;/140;운 상황1077;니다.

ᕬ1;시 0169;법1012; 아시ǉ16; ǥ16;1060; 1080;1004;시다면 공유 ǥ12;ᓠ1;드리,192;습니다.

서명

짧은글 일수록 신중하게.



Qsup 2020-10 ARP Table에서 IP Address를 Static으로 설정해서 하나하나 지정해주면 되지 않나요? ARP Table에서 IP Address를 Static으로 설정해서 하나하나 지정해주면 되지 않나요?



강민준1 2020-10 헉... 그럴 것 같네요;; 바로 테스트 VM 만들어서 시도해 보겠습니다. 감사합니다. 헉... 그럴 것 같네요;; 바로 테스트 VM 만들어서 시도해 보겠습니다. 감사합니다.



강민준1 2020-10 중간의 브릿지 머신의 arp table에 설정해 주었는데, 브릿지 머신에서 핑은 안 가지만 아이피 할당은 정상적으로 되고 다른 머신에서도 정상적으로 접속이 되어버리네요. 이 방법을 사용하려면 모든 머신의 arp table에 static으로 넣어줘야 할 것 같은데, 이건 사실상 좀 어려울 것 같습니다 ㅠㅠ 중간의 브릿지 머신의 arp table에 설정해 주었는데, 브릿지 머신에서 핑은 안 가지만 아이피 할당은 정상적으로 되고 다른 머신에서도 정상적으로 접속이 되어버리네요. 이 방법을 사용하려면 모든 머신의 arp table에 static으로 넣어줘야 할 것 같은데, 이건 사실상 좀 어려울 것 같습니다 ㅠㅠ



Qsup 2020-10 머신 대수가 많다면 역시나 좀 힘들겠죠. 뭐 이런게 전문 장비가 존재하는 이유겠죠..... 머신 대수가 많다면 역시나 좀 힘들겠죠. 뭐 이런게 전문 장비가 존재하는 이유겠죠.....



강민준1 2020-10 * nsx의 spoofguard와 같은 기능이긴 한데, nsx를 이용하지 않고 구성하려고 합니다. 워낙 제가 글을 잘 못 써서... 글의 요지가 잘 나타난 것 같지 않아 비슷한 기능을 남겨드립니다. * nsx의 spoofguard와 같은 기능이긴 한데, nsx를 이용하지 않고 구성하려고 합니다. 워낙 제가 글을 잘 못 써서... 글의 요지가 잘 나타난 것 같지 않아 비슷한 기능을 남겨드립니다.



Qsup 2020-10 결국 ARP 테이블을 정적 / 동적으로 요리조리 잘 굴려서 스푸핑을 막는건데 수작업으로 비슷하게 구현하려면 노가다는 어쩔 수 없는듯 합니다... 결국 ARP 테이블을 정적 / 동적으로 요리조리 잘 굴려서 스푸핑을 막는건데 수작업으로 비슷하게 구현하려면 노가다는 어쩔 수 없는듯 합니다...



Noname1 2020-10 iptables로 가능한데요.. 맥주소에다가 "아이피 개수"를 제한하는거라면 이건 따로 대몬으로 arp테이블 모니터링 하는 스크립트(또는 NAC장비)가 필요할것같네요 iptables -t FORWARD -A INPUT -i eth1 -m mac --mac-source 12:34:56:12:34:56 -s 192.168.100.1 -j ACCEPT iptables -t FORWARD -A INPUT -i eth1 -m mac --mac-source 12:34:56:12:34:56 -s 133.111.69.74 -j ACCEPT iptables -t FORWARD -A INPUT -i eth1 -j DROP iptables -P FORWARD DROP iptables로 가능한데요.. 맥주소에다가 "아이피 개수"를 제한하는거라면 이건 따로 대몬으로 arp테이블 모니터링 하는 스크립트(또는 NAC장비)가 필요할것같네요 iptables -t FORWARD -A INPUT -i eth1 -m mac --mac-source 12:34:56:12:34:56 -s 192.168.100.1 -j ACCEPT iptables -t FORWARD -A INPUT -i eth1 -m mac --mac-source 12:34:56:12:34:56 -s 133.111.69.74 -j ACCEPT iptables -t FORWARD -A INPUT -i eth1 -j DROP iptables -P FORWARD DROP



강민준1 2020-10 말씀하신 스크립트가 저한테 맞는 스크립트 같습니다. 테스트 해보고 결과 전달드리겠습니다. ^^ 말씀하신 스크립트가 저한테 맞는 스크립트 같습니다. 테스트 해보고 결과 전달드리겠습니다. ^^



찬이 2020-10 vmware에서 bridge network로 사용하신다면은 위 구성에서는 어려울것 같습니다. bridge network은 host에서 나가는 mac을 (guest의 mac으로)변조하는 개념이라 어느 host에서 나온건지 브릿지용 머신에서는 판단할 수 없습니다. 매니지먼트 스위치를 이용해서 IP가 아닌 물리적인 LAN포트 당 MAC개수를 제한하는것이 하나의 방법일듯 싶습니다. 좀 더 복잡하게는 호스트마다 다른 vlan을 주고 브릿지용 머신에서 해당 vlan들을 브릿지&필터할수도 있을거같구요 vmware에서 bridge network로 사용하신다면은 위 구성에서는 어려울것 같습니다. bridge network은 host에서 나가는 mac을 (guest의 mac으로)변조하는 개념이라 어느 host에서 나온건지 브릿지용 머신에서는 판단할 수 없습니다. 매니지먼트 스위치를 이용해서 IP가 아닌 물리적인 LAN포트 당 MAC개수를 제한하는것이 하나의 방법일듯 싶습니다. 좀 더 복잡하게는 호스트마다 다른 vlan을 주고 브릿지용 머신에서 해당 vlan들을 브릿지&필터할수도 있을거같구요



강민준1 2020-10 vmware의 bridge network가 아니라 linux의 bridge로 구축되어 있는 상태입니다.ㅠㅠ vmware의 bridge network가 아니라 linux의 bridge로 구축되어 있는 상태입니다.ㅠㅠ



찬이 2020-10 아 글을 제대로 안읽었었네요ㅋㅋㅋ 호스트머신이라 해서 당연히 VM인줄 알았네요ㅠㅠㅠㅠ 아 글을 제대로 안읽었었네요ㅋㅋㅋ 호스트머신이라 해서 당연히 VM인줄 알았네요ㅠㅠㅠㅠ



파닥파닥 2020-10 L2 구간이라면 모든 가용가능한 ip 에 대해서 방화벽 역활을 하는 장비가 spoofing 하다가 특정 mac 에 대해서만 풀어주는 식으로 가면 안될까요 mac 에 대한 ACL 은 앞서 분들이 언급한데로 src ip 와 src mac 을 매칭시켜서 필터링하구요 L2 구간이라면 모든 가용가능한 ip 에 대해서 방화벽 역활을 하는 장비가 spoofing 하다가 특정 mac 에 대해서만 풀어주는 식으로 가면 안될까요 mac 에 대한 ACL 은 앞서 분들이 언급한데로 src ip 와 src mac 을 매칭시켜서 필터링하구요



이것저것해… 2020-10 CentOS의 netfilter의 hook에 mac과 IP를 비교하는 kernel module을 만들어 넣는게 이런 일을 하기에 제일 맞는 것 같긴 합니다. CentOS의 netfilter의 hook에 mac과 IP를 비교하는 kernel module을 만들어 넣는게 이런 일을 하기에 제일 맞는 것 같긴 합니다.

로그인 하시면 댓글을 남길 수 있습니다

검색 목록

쓰기

QnA

쓰기

9/420

번호	제목Page 9/420	글쓴이	날짜	조회	추천
8233	이벤트로그 4625 관련 질문 (2)	프랑	2020-11	2876	0
이벤트로그 4625 관련 질문 (2) 2020-11 2876 1 프랑
8232	Z9PE-D16/2L 보드 적출해서 사용해보신분계실까요?? (13)	Wnahd	2021-10	1308	0
Z9PE-D16/2L 보드 적출해서 사용해보신분… (13) 2021-10 1308 1 Wnahd
8231	220v 사용 가능한 보드인지 문의드립니다. (원산지 미국제품) (17)	두슬아빠	2020-11	2272	0
220v 사용 가능한 보드인지 문의드립니다.… (17) 2020-11 2272 1 두슬아빠
8230	대학생 딥러닝 노트북 추천 (20)	학부생	2021-10	7803	0
대학생 딥러닝 노트북 추천 (20) 2021-10 7803 1 학부생
8229	10G SFP+ 연결 질문 드립니다. (12)	나만없나댕…	2020-11	3760	0
10G SFP+ 연결 질문 드립니다. (12) 2020-11 3760 1 나만없나댕…
8228	최주희님 미니피시에서 맥용저전력메모리 14900s 제품도 호환이되는건가요? (5)	굴렁쇠	2021-10	1642	0
최주희님 미니피시에서 맥용저전력메모리 … (5) 2021-10 1642 1 굴렁쇠
8227	aix5.3, 6.1 iso 이미지 요청 드립니다. (4)	하퍼데일	2020-11	2009	0
aix5.3, 6.1 iso 이미지 요청 드립니다. (4) 2020-11 2009 1 하퍼데일
8226	T5810 이상증상문의 (11)	05	2021-10	2223	0
T5810 이상증상문의 (11) 2021-10 2223 1 05
8225	HDMI로 3440x1440 60hz 안되나요? (7)	영산회상	2020-10	3771	0
HDMI로 3440x1440 60hz 안되나요? (7) 2020-10 3771 1 영산회상
8224	부팅USB 관련 프로그램을 찾습니다. (7)	사랑하라	2021-10	1604	0
부팅USB 관련 프로그램을 찾습니다. (7) 2021-10 1604 1 사랑하라
8223	windows server 업데이트 문제... (2)	com12	2020-10	2110	0
windows server 업데이트 문제... (2) 2020-10 2110 1 com12
8222	DDR4 단일램 64GB나 128GB RAM도 쓰는 곳이 있나요? (7)	미친감자	2021-10	4181	0
DDR4 단일램 64GB나 128GB RAM도 쓰는 곳… (7) 2021-10 4181 1 미친감자
8221	ps2 마우스랑 키보드를 꼽지않고 usb 마우스나 키보드를 사용하면 부팅이 멈춰버립니…	산림인	2020-10	2412	0
ps2 마우스랑 키보드를 꼽지않고 usb 마우… 2020-10 2412 1 산림인
8220	요런 스위치는 어디서 살 수 있을까요? (4)	미친감자	2021-10	1491	0
요런 스위치는 어디서 살 수 있을까요? (4) 2021-10 1491 1 미친감자
8219	쿼드로 SLI 호환성 질문 (8)	더이상오지마	2020-10	3288	0
쿼드로 SLI 호환성 질문 (8) 2020-10 3288 1 더이상오지마
8218	usb부팅시 usb인식 안될때 문의 (9)	헌터D	2021-10	5672	0
usb부팅시 usb인식 안될때 문의 (9) 2021-10 5672 1 헌터D
8217	ESXI 6.5 설치방법 질문 드립니다 (3)	전진	2020-10	2942	0
ESXI 6.5 설치방법 질문 드립니다 (3) 2020-10 2942 1 전진
8216	(실무) 스토리지 서버 구성에 대해 질문이 있습니다. (13)	limitroc	2021-10	1965	0
(실무) 스토리지 서버 구성에 대해 질문이… (13) 2021-10 1965 1 limitroc
8215	RAID 구성이 안되있을시 윈도우 하드인식 (8)	fiento	2020-10	3648	0
RAID 구성이 안되있을시 윈도우 하드인식 (8) 2020-10 3648 1 fiento
8214	z440 인데 win 11 올리고 드라이버 안잡히는 것이 있네요 (6)	무아	2021-10	2181	0
z440 인데 win 11 올리고 드라이버 안잡히… (6) 2021-10 2181 1 무아