Jump to content
Калькуляторы

Блокировать по мак адресу

Добрый день!

 

Подзабыл немного о том, как настроить дропание клиентов по мак адресу

 

В сети поднят РРРОЕ-сервер, нет DHCP, соответственно клиент после аторизации только получает фиксированный IP. Так вот напрягает последнее время бесконечные логи, где роутеры клиентов постоянно пытаются подключится к микротику, в то время как их учетная запись отключены на время отпуска. В результате найти для себя каку-то информацию в логах стала целой проблемой.

 

Создал правило в ip firewall filter правило

 

chain=input action=drop src-mac-address=2C:AB:25:D6:1E:F8

 

но оно не работает, что неправильно указал?

Share this post


Link to post
Share on other sites

Блокировать в фильтрах свича (если поддерживается) или бриджа.

Share this post


Link to post
Share on other sites

forward пробовал ставить, не помогает, хотя по логике и не должен быть forward, т.к. требуется дропать входящий на рррое-сервер, а не проходящий далее за NAT

 

У меня бридж и аппаратный свич не используется, т.е. на eth1 заведен инет, а на eth2 поднят рррое-сервер для раздачи клиентам. Понятно дело, что я заблокировал выход кого-то в инет, отключил просто учетную запись в secrets, но проблема в том, что в логах каждую секунду идет попытка подключения данной учетки, логи забиваются этой ненужной информации и становится проблемно что-то отследить и найти в логах...

Share this post


Link to post
Share on other sites

У меня бридж

Ну так и фильтруй на бридже. И логи можно настраивать, если что.

Share this post


Link to post
Share on other sites

У меня бридж и аппаратный свич не используется

 

Логи настраивать можно только по отношению ко всем клиентам, т.е. можно тупо убрать информацию об авторизации, но тогда не будет отображаться информация об авторизации других клиентов, которая нужна, поэтому вариант настройки логов не подходит.

 

Значит остается вариант только использовать ip firewall filter... Почему не работает фильтр, который я создал, если в закладке advanced есть для таких случаев src-mac-address. Может нужно еще дополнительно, что указать или прописать?

Share this post


Link to post
Share on other sites

Значит остается вариант только использовать ip firewall filter

У меня он так и не заработал, после чего я просто создал бридж и перевесил на него все сервисы.

Share this post


Link to post
Share on other sites

В моем варианте бридж не подойдет, т.к. даст серьезную дополнительную нагрузку на процессор и память....

 

воткнул в сетку дополнительно RB750, который использую в качестве коммутатора для фильтрации всего, кроме рррое, на нем запретил на бридже этот мак и там это правило заработало, но это костыли очередные, т.к. потом забудешь, что на стороннем железе что-то дропаешь будешь голову ломать в поисках проблемы...

И к тому же сетка по схеме звезда и потом еще надо будет фильтровать на другом сегменте каждый раз втыкать туда еще один микротик не вариант..

 

Гуру по микротикам, подскажите почему не работает правило?

Edited by chetkiyparen

Share this post


Link to post
Share on other sites

И к тому же сетка по схеме звезда и потом еще надо будет фильтровать на другом сегменте каждый раз втыкать туда еще один микротик не вариант..

Гуру по микротикам тут с вами не согласится =)

А вариант, ставить свичи с АСL и фильтруйте там всё, что хотите. Микротик он все же роутер.

Share this post


Link to post
Share on other sites

Добрый день!

 

Подзабыл немного о том, как настроить дропание клиентов по мак адресу

 

В сети поднят РРРОЕ-сервер, нет DHCP, соответственно клиент после аторизации только получает фиксированный IP. Так вот напрягает последнее время бесконечные логи, где роутеры клиентов постоянно пытаются подключится к микротику, в то время как их учетная запись отключены на время отпуска. В результате найти для себя каку-то информацию в логах стала целой проблемой.

 

Создал правило в ip firewall filter правило

 

chain=input action=drop src-mac-address=2C:AB:25:D6:1E:F8

 

но оно не работает, что неправильно указал?

 

 

Правило у вас случайно не внизу списка? Попробуйте вверх поднять.

На сколько я помню сперва идут запрещающие правила, потом разрещающие

Edited by RuffiAn

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this