chetkiyparen Опубликовано 10 августа, 2014 · Жалоба Добрый день! Подзабыл немного о том, как настроить дропание клиентов по мак адресу В сети поднят РРРОЕ-сервер, нет DHCP, соответственно клиент после аторизации только получает фиксированный IP. Так вот напрягает последнее время бесконечные логи, где роутеры клиентов постоянно пытаются подключится к микротику, в то время как их учетная запись отключены на время отпуска. В результате найти для себя каку-то информацию в логах стала целой проблемой. Создал правило в ip firewall filter правило chain=input action=drop src-mac-address=2C:AB:25:D6:1E:F8 но оно не работает, что неправильно указал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dumpy Опубликовано 10 августа, 2014 · Жалоба chain=forward поробуй Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 10 августа, 2014 · Жалоба Блокировать в фильтрах свича (если поддерживается) или бриджа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 10 августа, 2014 · Жалоба forward пробовал ставить, не помогает, хотя по логике и не должен быть forward, т.к. требуется дропать входящий на рррое-сервер, а не проходящий далее за NAT У меня бридж и аппаратный свич не используется, т.е. на eth1 заведен инет, а на eth2 поднят рррое-сервер для раздачи клиентам. Понятно дело, что я заблокировал выход кого-то в инет, отключил просто учетную запись в secrets, но проблема в том, что в логах каждую секунду идет попытка подключения данной учетки, логи забиваются этой ненужной информации и становится проблемно что-то отследить и найти в логах... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 10 августа, 2014 · Жалоба У меня бридж Ну так и фильтруй на бридже. И логи можно настраивать, если что. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 10 августа, 2014 · Жалоба У меня бридж и аппаратный свич не используется Логи настраивать можно только по отношению ко всем клиентам, т.е. можно тупо убрать информацию об авторизации, но тогда не будет отображаться информация об авторизации других клиентов, которая нужна, поэтому вариант настройки логов не подходит. Значит остается вариант только использовать ip firewall filter... Почему не работает фильтр, который я создал, если в закладке advanced есть для таких случаев src-mac-address. Может нужно еще дополнительно, что указать или прописать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 10 августа, 2014 · Жалоба Значит остается вариант только использовать ip firewall filter У меня он так и не заработал, после чего я просто создал бридж и перевесил на него все сервисы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 10 августа, 2014 (изменено) · Жалоба В моем варианте бридж не подойдет, т.к. даст серьезную дополнительную нагрузку на процессор и память.... воткнул в сетку дополнительно RB750, который использую в качестве коммутатора для фильтрации всего, кроме рррое, на нем запретил на бридже этот мак и там это правило заработало, но это костыли очередные, т.к. потом забудешь, что на стороннем железе что-то дропаешь будешь голову ломать в поисках проблемы... И к тому же сетка по схеме звезда и потом еще надо будет фильтровать на другом сегменте каждый раз втыкать туда еще один микротик не вариант.. Гуру по микротикам, подскажите почему не работает правило? Изменено 10 августа, 2014 пользователем chetkiyparen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 10 августа, 2014 · Жалоба И к тому же сетка по схеме звезда и потом еще надо будет фильтровать на другом сегменте каждый раз втыкать туда еще один микротик не вариант.. Гуру по микротикам тут с вами не согласится =)А вариант, ставить свичи с АСL и фильтруйте там всё, что хотите. Микротик он все же роутер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RuffiAn Опубликовано 11 августа, 2014 (изменено) · Жалоба Добрый день! Подзабыл немного о том, как настроить дропание клиентов по мак адресу В сети поднят РРРОЕ-сервер, нет DHCP, соответственно клиент после аторизации только получает фиксированный IP. Так вот напрягает последнее время бесконечные логи, где роутеры клиентов постоянно пытаются подключится к микротику, в то время как их учетная запись отключены на время отпуска. В результате найти для себя каку-то информацию в логах стала целой проблемой. Создал правило в ip firewall filter правило chain=input action=drop src-mac-address=2C:AB:25:D6:1E:F8 но оно не работает, что неправильно указал? Правило у вас случайно не внизу списка? Попробуйте вверх поднять. На сколько я помню сперва идут запрещающие правила, потом разрещающие Изменено 11 августа, 2014 пользователем RuffiAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 11 августа, 2014 · Жалоба это первое, что было сделано, но увы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...