今天跟朋友討論到, 如果一個辦公室裡面的機器, 有些要給上 internet 有些不給上 internet, 那要怎麼從防火牆擋 ip 呢? 如果環境又是 DHCP 的, 那防火牆怎麼知道哪個機器拿到哪個 ip? 後來討論到利用 DHCP 的 user class identification 的功能, 來根據不同的 user 群發給不同的 ip, 那防火牆上面就放行可上網的 ip, 其他全擋掉就好了.
class "int-pass" {
match if substring (option user-class, 0, 4) = "EXTR";
}
subnet 192.168.10.0 netmask 255.255.255.0 {
pool {
allow members of "int-pass";
range 192.168.10.30 192.168.10.100;
}
pool {
deny members of "int-pass";
range 192.168.10.120 192.168.10.200;
}
}
在防火牆上面放行 192.168.10.0~100 其他全擋掉就 ok 了.
No comments:
Post a Comment