Барагоз Posted August 23, 2008 Posted August 23, 2008 Подскажите ламеру, как реализовать сабж не на уровне DHCP, а на уровне файрволла. Сейчас сделано следующим образом: в DHCP добавлены статические записи, выдаются айпишники по макам. Сделан аксесс-лист с айпишниками, у которых должен быть инет. Есть правило файрволла, которое разрешает натить на адреса из аксесс-листа. Нужно отключить юзеру инет - дизаблим в аксесс-листе айпишник. Но ничто не мешает юзеру наплевать на DHCP и прописать вручную чужой айпишник. Излазил настройки, прозрачного способа настроить привязку или хотя бы тупую мак-фильтрацию (таким-то макам можно, таким-то - нельзя) не нашёл. Правила файрволла в принципе позволяют фильтровать по маку... Но один единственный мак на правило. Ничего похожего на лист (чтобы так же, как для айпишников), не нашлось 0_о На тех же тупых д-линках мак-фильтрация со списком делается на счёт 'раз'. Может, я где-то не там копаю? ЗЫ. В микротике всё, кроме настройки интерфейсов, предпочитаю делать через виндовый гуй. Хотя командами тоже разберусь, наверное... Вставить ник Quote
martini Posted August 23, 2008 Posted August 23, 2008 /interface ethernet set ether3 arp=reply-only эту командочку делаешь на эзернете который смотрит на юзеров. и прописываешь статические мак адреса на юзеров в арп таблице. НЕ ЗАБУДЬ ПРОПИСАТЬ СВОЙ МАК если коннектишся по этому же интерфейсу !! Вставить ник Quote
Барагоз Posted August 24, 2008 Author Posted August 24, 2008 Спасибо. Как всё просто, оказывается. И ведь читал когда-то об этом в доке... Вставить ник Quote
Docto_ Posted August 30, 2008 Posted August 30, 2008 Не рекомендую для этого использовать ARP. Т.к. там нет коммента к правилу! Будет путаница несусветная. Используй фильтр ip firewall filter. Конечно когда ARP статический, то по сетке гуляет меньше мусора, но для этого надо попросту уменьшать броудкаст домены. Успехофф! Вставить ник Quote
DWA Posted August 31, 2008 Posted August 31, 2008 Не рекомендую для этого использовать ARP. Т.к. там нет коммента к правилу!Есть он там. :) Вставить ник Quote
martini Posted August 31, 2008 Posted August 31, 2008 /ip arp add address=1.1.1.1 interface=ether4-local mac-address=00:01:02:03:04:05 disabled=no comment=vasya-user Вставить ник Quote
uraso Posted September 7, 2010 Posted September 7, 2010 (edited) А как сделать фильтрацию по маку при подключении безпроводных клиентов??? Тоже через арп? wireles tables - interfaces- General - ARP - enabled - reply -ony ???? Но мне нужно чтоб к моей точке не конектился кто попало .... Edited September 7, 2010 by uraso Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.