chetkiyparen Posted August 10, 2014 · Report post Добрый день! Подзабыл немного о том, как настроить дропание клиентов по мак адресу В сети поднят РРРОЕ-сервер, нет DHCP, соответственно клиент после аторизации только получает фиксированный IP. Так вот напрягает последнее время бесконечные логи, где роутеры клиентов постоянно пытаются подключится к микротику, в то время как их учетная запись отключены на время отпуска. В результате найти для себя каку-то информацию в логах стала целой проблемой. Создал правило в ip firewall filter правило chain=input action=drop src-mac-address=2C:AB:25:D6:1E:F8 но оно не работает, что неправильно указал? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dumpy Posted August 10, 2014 · Report post chain=forward поробуй Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted August 10, 2014 · Report post Блокировать в фильтрах свича (если поддерживается) или бриджа. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted August 10, 2014 · Report post forward пробовал ставить, не помогает, хотя по логике и не должен быть forward, т.к. требуется дропать входящий на рррое-сервер, а не проходящий далее за NAT У меня бридж и аппаратный свич не используется, т.е. на eth1 заведен инет, а на eth2 поднят рррое-сервер для раздачи клиентам. Понятно дело, что я заблокировал выход кого-то в инет, отключил просто учетную запись в secrets, но проблема в том, что в логах каждую секунду идет попытка подключения данной учетки, логи забиваются этой ненужной информации и становится проблемно что-то отследить и найти в логах... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted August 10, 2014 · Report post У меня бридж Ну так и фильтруй на бридже. И логи можно настраивать, если что. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted August 10, 2014 · Report post У меня бридж и аппаратный свич не используется Логи настраивать можно только по отношению ко всем клиентам, т.е. можно тупо убрать информацию об авторизации, но тогда не будет отображаться информация об авторизации других клиентов, которая нужна, поэтому вариант настройки логов не подходит. Значит остается вариант только использовать ip firewall filter... Почему не работает фильтр, который я создал, если в закладке advanced есть для таких случаев src-mac-address. Может нужно еще дополнительно, что указать или прописать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted August 10, 2014 · Report post Значит остается вариант только использовать ip firewall filter У меня он так и не заработал, после чего я просто создал бридж и перевесил на него все сервисы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted August 10, 2014 (edited) · Report post В моем варианте бридж не подойдет, т.к. даст серьезную дополнительную нагрузку на процессор и память.... воткнул в сетку дополнительно RB750, который использую в качестве коммутатора для фильтрации всего, кроме рррое, на нем запретил на бридже этот мак и там это правило заработало, но это костыли очередные, т.к. потом забудешь, что на стороннем железе что-то дропаешь будешь голову ломать в поисках проблемы... И к тому же сетка по схеме звезда и потом еще надо будет фильтровать на другом сегменте каждый раз втыкать туда еще один микротик не вариант.. Гуру по микротикам, подскажите почему не работает правило? Edited August 10, 2014 by chetkiyparen Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted August 10, 2014 · Report post И к тому же сетка по схеме звезда и потом еще надо будет фильтровать на другом сегменте каждый раз втыкать туда еще один микротик не вариант.. Гуру по микротикам тут с вами не согласится =)А вариант, ставить свичи с АСL и фильтруйте там всё, что хотите. Микротик он все же роутер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RuffiAn Posted August 11, 2014 (edited) · Report post Добрый день! Подзабыл немного о том, как настроить дропание клиентов по мак адресу В сети поднят РРРОЕ-сервер, нет DHCP, соответственно клиент после аторизации только получает фиксированный IP. Так вот напрягает последнее время бесконечные логи, где роутеры клиентов постоянно пытаются подключится к микротику, в то время как их учетная запись отключены на время отпуска. В результате найти для себя каку-то информацию в логах стала целой проблемой. Создал правило в ip firewall filter правило chain=input action=drop src-mac-address=2C:AB:25:D6:1E:F8 но оно не работает, что неправильно указал? Правило у вас случайно не внизу списка? Попробуйте вверх поднять. На сколько я помню сперва идут запрещающие правила, потом разрещающие Edited August 11, 2014 by RuffiAn Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted August 11, 2014 · Report post это первое, что было сделано, но увы... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...