Перейти к содержимому
Калькуляторы

Блокировать по мак адресу

Добрый день!

 

Подзабыл немного о том, как настроить дропание клиентов по мак адресу

 

В сети поднят РРРОЕ-сервер, нет DHCP, соответственно клиент после аторизации только получает фиксированный IP. Так вот напрягает последнее время бесконечные логи, где роутеры клиентов постоянно пытаются подключится к микротику, в то время как их учетная запись отключены на время отпуска. В результате найти для себя каку-то информацию в логах стала целой проблемой.

 

Создал правило в ip firewall filter правило

 

chain=input action=drop src-mac-address=2C:AB:25:D6:1E:F8

 

но оно не работает, что неправильно указал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блокировать в фильтрах свича (если поддерживается) или бриджа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

forward пробовал ставить, не помогает, хотя по логике и не должен быть forward, т.к. требуется дропать входящий на рррое-сервер, а не проходящий далее за NAT

 

У меня бридж и аппаратный свич не используется, т.е. на eth1 заведен инет, а на eth2 поднят рррое-сервер для раздачи клиентам. Понятно дело, что я заблокировал выход кого-то в инет, отключил просто учетную запись в secrets, но проблема в том, что в логах каждую секунду идет попытка подключения данной учетки, логи забиваются этой ненужной информации и становится проблемно что-то отследить и найти в логах...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня бридж

Ну так и фильтруй на бридже. И логи можно настраивать, если что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня бридж и аппаратный свич не используется

 

Логи настраивать можно только по отношению ко всем клиентам, т.е. можно тупо убрать информацию об авторизации, но тогда не будет отображаться информация об авторизации других клиентов, которая нужна, поэтому вариант настройки логов не подходит.

 

Значит остается вариант только использовать ip firewall filter... Почему не работает фильтр, который я создал, если в закладке advanced есть для таких случаев src-mac-address. Может нужно еще дополнительно, что указать или прописать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Значит остается вариант только использовать ip firewall filter

У меня он так и не заработал, после чего я просто создал бридж и перевесил на него все сервисы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В моем варианте бридж не подойдет, т.к. даст серьезную дополнительную нагрузку на процессор и память....

 

воткнул в сетку дополнительно RB750, который использую в качестве коммутатора для фильтрации всего, кроме рррое, на нем запретил на бридже этот мак и там это правило заработало, но это костыли очередные, т.к. потом забудешь, что на стороннем железе что-то дропаешь будешь голову ломать в поисках проблемы...

И к тому же сетка по схеме звезда и потом еще надо будет фильтровать на другом сегменте каждый раз втыкать туда еще один микротик не вариант..

 

Гуру по микротикам, подскажите почему не работает правило?

Изменено пользователем chetkiyparen

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И к тому же сетка по схеме звезда и потом еще надо будет фильтровать на другом сегменте каждый раз втыкать туда еще один микротик не вариант..

Гуру по микротикам тут с вами не согласится =)

А вариант, ставить свичи с АСL и фильтруйте там всё, что хотите. Микротик он все же роутер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

 

Подзабыл немного о том, как настроить дропание клиентов по мак адресу

 

В сети поднят РРРОЕ-сервер, нет DHCP, соответственно клиент после аторизации только получает фиксированный IP. Так вот напрягает последнее время бесконечные логи, где роутеры клиентов постоянно пытаются подключится к микротику, в то время как их учетная запись отключены на время отпуска. В результате найти для себя каку-то информацию в логах стала целой проблемой.

 

Создал правило в ip firewall filter правило

 

chain=input action=drop src-mac-address=2C:AB:25:D6:1E:F8

 

но оно не работает, что неправильно указал?

 

 

Правило у вас случайно не внизу списка? Попробуйте вверх поднять.

На сколько я помню сперва идут запрещающие правила, потом разрещающие

Изменено пользователем RuffiAn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это первое, что было сделано, но увы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.