❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
MAC a IP
MAC a IP
Da se nejakudelat na MK aby se k MAC adrese pridelila IP adresa a pokud by tonekdo skousel prepsat takby ho to nepustilo???? Priklad uzivatel na IP 10.10.10.2 a MAC 00:11:22:33:44:55 a pokud by uzivatel dal jinou IP napriklad 10.10.10.3 tak by ho to odmitlo a treba zablokovalo MAC adresu abych vedel kdo to dela, samozrejme mu pak nepujde net a ja to zjistim az zavola abude si vymejslet ze nic a pritom to zkousel prehodit. Slo by to nejak udelat?? Nebo ma tohlenekdo nejak vymysleny?? Dekuji za napady.
0 x
Já to řeším takto ve Firewallu - Filter:
chain=forward action=drop src-address=!10.1.85.20 src-mac-address=00:11:22:33:44:55
před to můžeš ještě vložit pravidlo, které to bude logovat:
chain=forward action=log src-address=!10.1.85.20 src-mac-address=00:11:22:33:44:55 log-prefix="PODVODNIK"
případně ještě přidej statický ARP záznam
Honza
chain=forward action=drop src-address=!10.1.85.20 src-mac-address=00:11:22:33:44:55
před to můžeš ještě vložit pravidlo, které to bude logovat:
chain=forward action=log src-address=!10.1.85.20 src-mac-address=00:11:22:33:44:55 log-prefix="PODVODNIK"
případně ještě přidej statický ARP záznam
Honza
0 x
Maxik píše:nebo tak, ale statickej ARP podle me staci
Když máš statický záznam oproti pravidlu tak je fajn že to nezabírá žádný procesorový čas jako pravidlo ale pokud máš jinou konfiguraci MAC a IP než je uvedená v tabulce, tak se nedostaneš už ani na toho mikrotika, ne? V případě pravidla to ale možné je. Když si například u klienta u kterého měníš zařízení a nemohl sis to doma nachystat tak máš smůlu, v případě pravidla se na ten mk připojíš a můžeš si to aspoň opravit
0 x
Já to používám tak, jak jsem uvedl výše, z jednoho důvodu:
pokud udělám statický ARP záznam, tak si zákazník může změnit IP adresu a připojení mu bude fungovat,
ale pokud mám pravidlo, tak nemůže použít na své MAC adrese jinou IP adresu, protože ho to pravidlo nepustí.
Pokud si změní MAC adresu, tak to samozřejmě ztrácí význam. Pokud mu budu měnit zařízení, tak to nové
zařízení bude mít jinou IP adresu a připojení pojede. Jen pak musím změnit to pravidlo, aby to zase omezovalo.
Asi to vysvětluju složitě, ale princip je jednoduchý.
Honza
pokud udělám statický ARP záznam, tak si zákazník může změnit IP adresu a připojení mu bude fungovat,
ale pokud mám pravidlo, tak nemůže použít na své MAC adrese jinou IP adresu, protože ho to pravidlo nepustí.
Pokud si změní MAC adresu, tak to samozřejmě ztrácí význam. Pokud mu budu měnit zařízení, tak to nové
zařízení bude mít jinou IP adresu a připojení pojede. Jen pak musím změnit to pravidlo, aby to zase omezovalo.
Asi to vysvětluju složitě, ale princip je jednoduchý.
Honza
0 x
pokud přepneš ARP u interfacu na disable, nemusíš mít žádný pravidlo, pouze jenom statickou ARP tabulku, pak se nebudou vytvářet nový záznamy a budou tam jenom ty zadaný.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
hapi píše:pokud přepneš ARP u interfacu na disable, nemusíš mít žádný pravidlo, pouze jenom statickou ARP tabulku, pak se nebudou vytvářet nový záznamy a budou tam jenom ty zadaný.
To je zajímavý. Takhle mě to nenapadlo. Ale zase pokud budu chtít někoho novýho připojit tak musím pravidlo vytvořit dopředu? Na místě se na mikrotik nedostanu pokud to dobře chápu
0 x
no teoreticky pokud budeš mít u sebe winbox tak by ses tam měl dostat, na druhou stranu jak bys to řešil kdyby jsi měl wifinu zabězpečenou podle MAC?
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Mě tohle zabezpeční napadá pro LAN né pro bezdrát. Představuju si to tak že naroutuju nějaký blok adres na "panelák" pak nechám ARP zaplé. Připojím klioše. V ARP uvidím záznam - svážu IP + MAC a potom ARP u interfacu vypnu. Pokud budu připojovat někoho novýho tak to zas na chvilku zapnu....
šlo by to tak?
šlo by to tak?
0 x
hapi píše: na druhou stranu jak bys to řešil kdyby jsi měl wifinu zabězpečenou podle MAC?
To je fakt, když měním klientské zařízení, stejně si to prostě musím nachystat dopředu a nebo otravuju pak kolegu :)
Asi to na jednom mk zkusím, ono když necháváš kontrolovat pravidlem mac+ ip na RB600 při datovém toku kolem 15mbit tak to docela dost žere výkon ;)
0 x
Panove tak naprosta parada uz jsem to udelal jak jste napsaly a super, dal jsem si tam i to logovani a naprosta parada uz vim kdo co dela. A pritom je to tak jednoduche 
. Mam jeste dotaz ohledne toho jak se mi to zapisuje do logu, da se to nejakym sriptikem posilat na mailik a neco treba zalohovat cely ten log treba po jednom dni ne tak....to proto abych vedel kdo to zkousel kdyz se hned nedostanu k MK abych se podival a hlavne on se ten log premazava tak ze tam nevidim vse...
. Mam jeste dotaz ohledne toho jak se mi to zapisuje do logu, da se to nejakym sriptikem posilat na mailik a neco treba zalohovat cely ten log treba po jednom dni ne tak....to proto abych vedel kdo to zkousel kdyz se hned nedostanu k MK abych se podival a hlavne on se ten log premazava tak ze tam nevidim vse...
0 x
neloguj to ma mk , ale loguj to na centralni log server a mas to vyresene
0 x
ERnet tady, ERnet tam, ERnet vsude kam se podivam
cokoliv co posloucha na portu 514/udp (syslog)
0 x
ERnet tady, ERnet tam, ERnet vsude kam se podivam