Chặn cắm AP vào máy tính bằng TTL ACL

by HaiNguyen -IT | 10/02/2026 | Lượt xem: 238

Chặn cắm AP phát wifi vào case máy tính công ty

Note: chặn cắm vào lỗ mạng thì đơn giản vì làm bằng port security là ăn

 

Bước 1: mình bắt gói từ PC công ty xem TTL nó là bao nhiêu, trong lab mình test bằng router thì TTL gốc là 255, khi lên tới R_Gateway (hoặc coresw) thì còn 254

Như vậy từ client của con AP đi tới PC , dù ẩn dưới IP của PC nhưng vẫn sẽ giảm TTL còn 253 hoặc 252.

Vậy mình tạo ACL tại Gateway là chặn các gói có TTL

Bước 2: Cấu hình test thử

PC: Cấu hình NAT cho giống thật

interface Ethernet0/0

 description LAN_Facing_AP

 ip address 192.168.10.1 255.255.255.0

 ip nat inside

!

interface Ethernet0/1

 description WAN_Facing_Gateway

 ip address 10.0.0.1 255.255.255.252

 ip nat outside

!

ip nat inside source list 1 interface Ethernet0/1 overload

!

access-list 1 permit 192.168.10.0 0.0.0.255

Tại Gateway

ip access-list extended Deny_AP

 deny   ip any any ttl lt 254

 permit ip any any

!

interface Ethernet0/0

 ip address 10.0.0.2 255.255.255.252

 ip access-group Deny_AP in

!

CHECK LẠI:

Từ PC ping ra 8.8.8.8 ok (vì TTL vẫn còn 254)

Từ AP thử ping tới 8.8.8.8 tịt ngay vì TTL giảm dưới 254

Mặc dù AP ping PC thì vẫn được.

Show access-list thấy đã match rule chặn (ok)

 

Bài viết cùng danh mục
Chia sẻ
Danh mục bài viết
Bài viết nổi bật
Bài viết mới nhất