[chetkiyparen]

Добрый день!

 

на микротике организована авторизация через рррое-сервер, периодически приходится выключать учетные записи, но роутеры у некоторых постоянно долбятся на микротик и засирают логи. Как создать правило, чтобы например при 10 неудачных попытках авторизации при ошибки логина(пароля) мак адрес источника запросов добавлялся бы в дроп-лист?

 

или как хотя бы вручную сделать этот дроп-лист? могу создать правило дропать всех из этого листа к примеру и вручную добавлять туда, но там по айпишнику добавление идет, а как по маку добавлять???

Изменено 15 сентября, 2016 пользователем chetkiyparen

[myth]

Думал об этом, даже на тазике делал. Но логичнее оказалось авторизовывать абонента и редиректить на страничку "Дай денег"

[Diamont]

По маку добавлять через фильтр бриджа, если он есть. Или через МАС фильтр на промежуточном коммутаторе.

[Гость Chetkiyparen]

В настоящее время фильтруют по маку на бридже на промежуточном коммутатора, но думал можно ли сделать непосредственно на сервере, т.к. удаленно не совсем удобно заходить на коммутатор локальный, да и забываешь периодически, что дропаешь там кого-то

[Гость Chetkiyparen]

В настоящее время фильтруют по маку на бридже на промежуточном коммутатора, но думал можно ли сделать непосредственно на сервере, т.к. удаленно не совсем удобно заходить на коммутатор локальный, да и забываешь периодически, что дропаешь там кого-то

[Saab95]

Так сделать можно только имея радиус сервер, который считает попытки авторизации за определенное время и отправляет команду на блокировку этого мак адреса.

Если блокировка нужна для цели отключения абонента от сети для отсекания трафика - такое бывает, когда идет мусорный трафик, то, как вариант, можно поставить второй микротик и уже авторизовывать отключенных абонентов на нем, выдавая не верные IP настройки, тогда он ничего передавать не сможет.

[nkusnetsov]

chetkiyparen, если позволяет биллинг - можно отключенным абонентам выдавать другой IP-адрес (серый из другой подсети) и заворачивать их трафик на заглушку.

Плюсы:

1) абонент сразу сам видит причину - снимается часть звонков с тех и абон отдела

2) устройство перестёт стучаться к серваку.

[chetkiyparen]

я думаю самый оптимальный вариант, если бы разработчики микротика просто добавили бы более развернутое меню при создании drop_list в ip firewall address list, где бы можно было бы указать не только IP, но и мак и т.д., как при создании правила в bridge filters

[nkusnetsov]

chetkiyparen, предположим, забанили абонента по маку на pppoe-сервере. Что толку? В своём сегменте L2 он по-прежнему будет гадить трафиком, косвенно мешая другим абонентам.

В идеале, закрывать надо на абонентском - порту максимально близко к абоненту.

Изменено 19 сентября, 2016 пользователем nkusnetsov

[chetkiyparen]

задача стоит в том, чтобы не засирались логи, абонент фильтруется во всем кроме рррое, как вы думаете много трафика генерирует попытка установить соединение с рррое-сервером?

[nkusnetsov]

chetkiyparen, вы экономите на спичках. Авторизовав абонента вы тоже прекратите засирание им логов.