Ip mac binding mac ve ip lerin eşleştirilerek ağa alınması (02 Şubat 2008)

 X  ip ve Y mac adreslerinin eşleştirilerek belirlenen Y mac adresi dışında başka bir mac adresinin yine belirlenmiş olan X ip’sinin  alamaması durumu.
 
Örn. :
 
00:0A:4E:3F:70:D0 mac adresine sahip ethernet kartının 192.168.1.100 numaralı ip ye sahip oldugunu varsayalım. Bu ip ile ilgili policylerin bir çok uygulama ve adrese izinli oldugunu varsayarsak, diğer kullanıcılar da bu ip’ye sahip olmak isteyecek ve bunu deneyeceklerdir.
Burada uygulanacak “mac binding” işlemi ile 192.168.1.100 numaralı ip’yi alan 00:0A:4E:3F:70:D0 haricinde bir mac adrese sahip olan kimselerin networke katılımı engellenecektir.
 
Bunun için gerekli konfigurasyon ancak komut satırından ( CLI ) yapılabilmektedir.
 
Gerekli komutlar :
 
1-          FGT #  Config firewall ipmacbinding table
2-          Table #  edit 1
3-          (1) #  set ip 192.168.1.100
4-          (1) # set mac 00:0A:4E:3F:70:D0
5-          (1) # set status enable
 
Bu yaptıgımız işlemle eşlenecek mac ve ip adreslerini söyledik . Başka bir eşleme daha söyleyeceğimiz zaman 2- nolu sıradaki table da “ EDİT 2 “ diyerek aynı tanımlama işlemini tekrar yapılabilir.
 
Bu oluşturdugumuz table ın nasıl bir filtreden geçeceğini ise şu şekilde işliyoruz ;
 
1-     FGT # config firewall ipmacbinding setting
2-     Setting # set bindthroughfirewall enable   ( ağa çıkışı keser ama FG’ye erişebilir )
3-     Setting # set bindtofw enable    ( FG’ye erişimi de keser )
4-     Setting # set undefinedhost allow ( burda block dersek eğer tanımlanmamış hiç  bir mac adrese içeri alınmaz , bu yüzden enable kalmalı )
 
Son olarakda yazdıgımız filterların işlemeye başlaması için bir komut daha gereklidir ;
 
1-                 FGT # config system interface
2-                 interface # edit internal  (internal yerine iç networke bakan port da yazılabilir )
3-                 internal # set ipmac enable
 
Artık kural çalışmaya başlamıştır.