Zdravim. Mam rozbehany Static DHCP na mikrotiku ale neviem ako zabranit tomu aby uzivatelom nesiel net v pripade ze si da natvrho inu ip ako mu prideli dhcp.
Ako na to ?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Static DHCP a blok netu pri inej IP
dej si ty povoleny IPcka do adreslistu a ve filtru jim dej accept a ostatni forward dropni
0 x
Vyriesi to aj to ze ak si inu ip z rozsahu nepojde mu net. Priklad: Static dhcp mu prideli 192.168.100.2 Rozsah ip z povolenym netom je od 192.168.100.2 do 192.168.100.100 Ak si zmeni user natvrdo IP na 192.168.100.3 net mu pojde aj pri nastaveni pravidla podla prispevku vyssie.Alebo sa mylim ?
0 x
to by jit nemel jedine ze by trefil jinou povolenou ve svym segmentu, na to je vhodne si tam zadat staticke IP+MAC do ARPu na tom Apcku
0 x
No ved prave, trafi ip a net mu pojde. Sksu mi to trochu rozpisat ako si to myslel z tym ARP+mac na Apcku.
Dik za ochotu
Dik za ochotu
0 x
levian píše:No ved prave, trafi ip a net mu pojde. Sksu mi to trochu rozpisat ako si to myslel z tym ARP+mac na Apcku.
Dik za ochotu
Pokud ten mikrotik slouzi jako router je mozne v ARP tabulce svazat IP s MAC, dana IP pak nefunguje s zadnou jinou nez zadanou MAC adresou.
0 x
Tar píše:Pokud ten mikrotik slouzi jako router je mozne v ARP tabulce svazat IP s MAC, dana IP pak nefunguje s zadnou jinou nez zadanou MAC adresou.
pak ovšem máš třeba ze servisního hlediska smůlu když potřebuješ udělat něco na routeru od klienta s jiným zařízením nebo z nějakého jiného důvodu prostě potřebuješ přistoupit s jinou MAC. Navíc nezjistíš v tomto případě že se někdo snažil si ip adresu změnit.
Pravidlem na svázání IP a MAC si můžeš vyčlenit rozsah ip adres který se dostane jan tam kam chceš a velmi jednoduše třeba do logu a následně do adres listu nechat zapisovat pokusy o změnu ip adresy a klienta na to upozornit.
0 x
V ARP List to mam zviazane IP+MAC, Dhcp podla macu prideli spravnu IP. Ked si ale natvrdo zmenim IP na inu z pololenych, net ide bezproblemov. Netreba este nieco nasatvit aby nesiel ?
0 x
pokud si pripiojen z ip a mac ktera je v ARPu tak se dostanes pokud mas jinej mac tak by to jit nemelo.
0 x
Nemam to odskusane, ale napada ma taka idea. spravit script ktory obcas prebehne DHCP server a zapise do address listu vsetky IP ktore maju status BOUND, ktore nemaju tak ich zmaze. vo firewale nastavit zviazanie IP+MAC+ address list. takze aj ked si napevno zmeni spravnu IP nepojde mu lebo ju nepridelil MK.
0 x
Stale to nefunguje. Ako bloknem aby pri zmene ip z DHCP na pevnu,inu ako prideluje DHCP neisiel net ???
0 x
Tak uz som na to prisiel. Parvidla boli nastavene spravne len treba este nastavit na Interface cez ktory to ide v Genaral hodnotu ARP na reply-only
0 x