chetkiyparen Posted September 14, 2016 Posted September 14, 2016 (edited) Добрый день! на микротике организована авторизация через рррое-сервер, периодически приходится выключать учетные записи, но роутеры у некоторых постоянно долбятся на микротик и засирают логи. Как создать правило, чтобы например при 10 неудачных попытках авторизации при ошибки логина(пароля) мак адрес источника запросов добавлялся бы в дроп-лист? или как хотя бы вручную сделать этот дроп-лист? могу создать правило дропать всех из этого листа к примеру и вручную добавлять туда, но там по айпишнику добавление идет, а как по маку добавлять??? Edited September 15, 2016 by chetkiyparen Вставить ник Quote
myth Posted September 17, 2016 Posted September 17, 2016 Думал об этом, даже на тазике делал. Но логичнее оказалось авторизовывать абонента и редиректить на страничку "Дай денег" Вставить ник Quote
Diamont Posted September 17, 2016 Posted September 17, 2016 По маку добавлять через фильтр бриджа, если он есть. Или через МАС фильтр на промежуточном коммутаторе. Вставить ник Quote
Guest Chetkiyparen Posted September 17, 2016 Posted September 17, 2016 В настоящее время фильтруют по маку на бридже на промежуточном коммутатора, но думал можно ли сделать непосредственно на сервере, т.к. удаленно не совсем удобно заходить на коммутатор локальный, да и забываешь периодически, что дропаешь там кого-то Вставить ник Quote
Guest Chetkiyparen Posted September 17, 2016 Posted September 17, 2016 В настоящее время фильтруют по маку на бридже на промежуточном коммутатора, но думал можно ли сделать непосредственно на сервере, т.к. удаленно не совсем удобно заходить на коммутатор локальный, да и забываешь периодически, что дропаешь там кого-то Вставить ник Quote
Saab95 Posted September 18, 2016 Posted September 18, 2016 Так сделать можно только имея радиус сервер, который считает попытки авторизации за определенное время и отправляет команду на блокировку этого мак адреса. Если блокировка нужна для цели отключения абонента от сети для отсекания трафика - такое бывает, когда идет мусорный трафик, то, как вариант, можно поставить второй микротик и уже авторизовывать отключенных абонентов на нем, выдавая не верные IP настройки, тогда он ничего передавать не сможет. Вставить ник Quote
nkusnetsov Posted September 19, 2016 Posted September 19, 2016 chetkiyparen, если позволяет биллинг - можно отключенным абонентам выдавать другой IP-адрес (серый из другой подсети) и заворачивать их трафик на заглушку. Плюсы: 1) абонент сразу сам видит причину - снимается часть звонков с тех и абон отдела 2) устройство перестёт стучаться к серваку. Вставить ник Quote
chetkiyparen Posted September 19, 2016 Author Posted September 19, 2016 я думаю самый оптимальный вариант, если бы разработчики микротика просто добавили бы более развернутое меню при создании drop_list в ip firewall address list, где бы можно было бы указать не только IP, но и мак и т.д., как при создании правила в bridge filters Вставить ник Quote
nkusnetsov Posted September 19, 2016 Posted September 19, 2016 (edited) chetkiyparen, предположим, забанили абонента по маку на pppoe-сервере. Что толку? В своём сегменте L2 он по-прежнему будет гадить трафиком, косвенно мешая другим абонентам. В идеале, закрывать надо на абонентском - порту максимально близко к абоненту. Edited September 19, 2016 by nkusnetsov Вставить ник Quote
chetkiyparen Posted September 19, 2016 Author Posted September 19, 2016 задача стоит в том, чтобы не засирались логи, абонент фильтруется во всем кроме рррое, как вы думаете много трафика генерирует попытка установить соединение с рррое-сервером? Вставить ник Quote
nkusnetsov Posted September 20, 2016 Posted September 20, 2016 chetkiyparen, вы экономите на спичках. Авторизовав абонента вы тоже прекратите засирание им логов. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.