Jump to content
Калькуляторы

Создать drop list для authentication failed

Reply to this topic

chetkiyparen   

chetkiyparen
Posted (edited)

Добрый день!

 

на микротике организована авторизация через рррое-сервер, периодически приходится выключать учетные записи, но роутеры у некоторых постоянно долбятся на микротик и засирают логи. Как создать правило, чтобы например при 10 неудачных попытках авторизации при ошибки логина(пароля) мак адрес источника запросов добавлялся бы в дроп-лист?

 

или как хотя бы вручную сделать этот дроп-лист? могу создать правило дропать всех из этого листа к примеру и вручную добавлять туда, но там по айпишнику добавление идет, а как по маку добавлять???

Edited by chetkiyparen

Share this post

Link to post
Share on other sites

Guest Chetkiyparen   

Guest Chetkiyparen
Posted

В настоящее время фильтруют по маку на бридже на промежуточном коммутатора, но думал можно ли сделать непосредственно на сервере, т.к. удаленно не совсем удобно заходить на коммутатор локальный, да и забываешь периодически, что дропаешь там кого-то

Share this post

Link to post
Share on other sites

Guest Chetkiyparen   

Guest Chetkiyparen
Posted

В настоящее время фильтруют по маку на бридже на промежуточном коммутатора, но думал можно ли сделать непосредственно на сервере, т.к. удаленно не совсем удобно заходить на коммутатор локальный, да и забываешь периодически, что дропаешь там кого-то

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Так сделать можно только имея радиус сервер, который считает попытки авторизации за определенное время и отправляет команду на блокировку этого мак адреса.

Если блокировка нужна для цели отключения абонента от сети для отсекания трафика - такое бывает, когда идет мусорный трафик, то, как вариант, можно поставить второй микротик и уже авторизовывать отключенных абонентов на нем, выдавая не верные IP настройки, тогда он ничего передавать не сможет.

Share this post

Link to post
Share on other sites

nkusnetsov   

nkusnetsov
Posted

chetkiyparen, если позволяет биллинг - можно отключенным абонентам выдавать другой IP-адрес (серый из другой подсети) и заворачивать их трафик на заглушку.

Плюсы:

1) абонент сразу сам видит причину - снимается часть звонков с тех и абон отдела

2) устройство перестёт стучаться к серваку.

Share this post

Link to post
Share on other sites

chetkiyparen   

chetkiyparen
Posted

я думаю самый оптимальный вариант, если бы разработчики микротика просто добавили бы более развернутое меню при создании drop_list в ip firewall address list, где бы можно было бы указать не только IP, но и мак и т.д., как при создании правила в bridge filters

Share this post

Link to post
Share on other sites

nkusnetsov   

nkusnetsov
Posted (edited)

chetkiyparen, предположим, забанили абонента по маку на pppoe-сервере. Что толку? В своём сегменте L2 он по-прежнему будет гадить трафиком, косвенно мешая другим абонентам.

В идеале, закрывать надо на абонентском - порту максимально близко к абоненту.

Edited by nkusnetsov

Share this post

Link to post
Share on other sites

chetkiyparen   

chetkiyparen
Posted

задача стоит в том, чтобы не засирались логи, абонент фильтруется во всем кроме рррое, как вы думаете много трафика генерирует попытка установить соединение с рррое-сервером?

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы