Svazani MAC s IP.

soucez · Příspěvekod **soucez** » 19 years ago

TooM-As píše:
Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no

Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no

Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).

daly by se tyhle pravidla generovat nejakym scriptem z "ip > DHCP server > leases" ??a pokud by se k tomu zaznamu pridal nejaky popisek script by to rozpoznal a nevytvoril pravidlo ?(prechazim na MK , uz jsem zapsal vsechny IP a MAC a nerad bych to tam datloval znova. ten popisek kuli lidem kteri jsou na siti ale nechteji net)

Hned na začátek firewallu jsem si dal seznam IP adres + MAC a jako action Accept. Na konec tohoto seznamu jsem si dal obecné 192.168.250.0/24 DROP a před toto ještě LOG. Ale když za tím mám ještě pravidlo které mi sleduje aktivitu klientů podle IP a dává je do Adress listu jako "aktivní klient" na 2 minuty. Taky to sleduje 192.168.250.0/24.
Jenže toto mi nefunguje a zároveň i vkládání adress listu že daná IP používí p2p. Jak to accept pravidlo které porovnává IP a MAC fachčí? To pak přeskakuje ve firewallu až někam dál za pravidla které mám bezprostředně pod tím seznamem Acceptů IP+MAC?

Matik · Příspěvekod **Matik** » 19 years ago

Pekny vecer mel bych jeden dotaz. Mam nastaveny mikrotik 2.9.17 ale mam polovicku rozsahu adres tedy treba 192.168.20.1/25 a chtel bych ve firewallu dat jenom nejaky seznam adres ktery bude prochazet ven na internet. Pokousel jsem se to pomoci Address listu ale nejak se nedari. Mohl by sem nekdo dat jak by se to udelo? nepotrebuj zatím hlídat mac adresy jelikoz kazdy ma urcenou adresu natvrdo. Diky.

chalan · Příspěvekod **chalan** » 18 years ago

mam ip/mac filter nastaveny takto

0 ;;; ap-2mo
chain=forward src-address=192.168.111.11
src-mac-address=00:E0:98:C5:8C:53 action=accept

30 ;;; logovanie neplatnych mac/ip
chain=forward src-address=192.168.111.0/24 action=log log-prefix=""

31 ;;; zakazeme vsetko ostatne
chain=forward src-address=192.168.111.0/24 action=drop

ale mam tam viac subnetov ako prosim zakazem jednym prikazom uplne vsetko a povolene budu len ip uvedene nad tym pravidlom zviazane s mac adresami, DAKUJEM

PS: skusal som miesto 192.168.111.0/24 dat 0.0.0.0/24 ale to nefunguje...

Greezmen · Příspěvekod **Greezmen** » 18 years ago

chain=forward action=drop :roll:

level · Příspěvekod **level** » 18 years ago

chalan píše:mam ip/mac filter nastaveny takto

0 ;;; ap-2mo
chain=forward src-address=192.168.111.11
src-mac-address=00:E0:98:C5:8C:53 action=accept

30 ;;; logovanie neplatnych mac/ip
chain=forward src-address=192.168.111.0/24 action=log log-prefix=""

31 ;;; zakazeme vsetko ostatne
chain=forward src-address=192.168.111.0/24 action=drop

ale mam tam viac subnetov ako prosim zakazem jednym prikazom uplne vsetko a povolene budu len ip uvedene nad tym pravidlom zviazane s mac adresami, DAKUJEM

PS: skusal som miesto 192.168.111.0/24 dat 0.0.0.0/24 ale to nefunguje...

dej tam treba 192.168.64.0/18 nebo klidne i vetsi rozsah jak budes potrebovat

Václav Kovář · Příspěvekod **Václav Kovář** » 18 years ago

Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no

Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no

Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).

Dovede prosím někdo poradit zda (a jak) je tento postup možný v případě, že jsou v MK dvě síovky konfigurovány jako Bridge, třetí NAT.
Bohužel mi u všech překládaných adres používá stejnou MAC z Bridge. Vypnu-li Bridge, jede vše OK.

alexanderi · Příspěvekod **alexanderi** » 18 years ago

chcem sa spytat ako nastavit ochranu MAC + IP na Routerboard 112, ale nie cez prikazy ale normalne v grafickom prostredi mikrotiku? Sa to robi niekde vo Ip - firewall . prosim piste ked nieco o tom viete, dik.

millo16 · Příspěvekod **millo16** » 18 years ago

mozem sa spytat?: nahadzol som si to podla tohoto prikladu:
- useri maju IP cez DHCP, pricom na MT je to na tvrdo podla MAC adresy,
- pravidlo vo firewalle je nahodene, IP a MAC je spravna napriek tomu niektorych pusti a niektorych nie

Leeonek · Příspěvekod **Leeonek** » 18 years ago

millo16 píše:mozem sa spytat?: nahadzol som si to podla tohoto prikladu:
- useri maju IP cez DHCP, pricom na MT je to na tvrdo podla MAC adresy,
- pravidlo vo firewalle je nahodene, IP a MAC je spravna napriek tomu niektorych pusti a niektorych nie

Ověř si v ARP listu pod jakou MAC opravdu přistupují. Pokud ji tam zadáš musí to chodit, pokud ne, prohlédni to ještě jednou protože někde je určitě chyba

millo16 · Příspěvekod **millo16** » 18 years ago

ako zvycajne, medzi stolickou a klavesnicou

vdaka bol to blby preklep

millo16 · Příspěvekod **millo16** » 18 years ago

chalan píše:mam ip/mac filter nastaveny takto
ale mam tam viac subnetov ako prosim zakazem jednym prikazom uplne vsetko a povolene budu len ip uvedene nad tym pravidlom zviazane s mac adresami, DAKUJEM

PS: skusal som miesto 192.168.111.0/24 dat 0.0.0.0/24 ale to nefunguje...

no to 0.0.0.0/24 by som tam nedaval, ale vzhlaodm na to, ze pouzivas IP 192.168.x.x tak tam daj 192.168.0.0/16 to mas bloknute vsetko

matos · Příspěvekod **matos** » 17 years ago

Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no

Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no

Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).

vedel by mi neikto povedat ako to mam nastavit? mam taku topologiu

problem je vtom ze ak spravim taketo pravidlo nalavo hore, tak to nefunguje pre subnet 192.168.0.x jedine ak by som to spravil na MK napravo hore

Skc · Příspěvekod **Skc** » 17 years ago

Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no

Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.
Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no

Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).

Asi jsem lama, ale pokud to udelam takhle, tak mi nic neproleze.

Jde mi o to, abych nemel v siti cerny uzivatele a aby si nemohli menit IP na nekoho jinyho.

Kód: Vybrat vše

0   
     chain=forward action=accept src-address=192.168.2.102 
     src-mac-address=00:1D:D9:21:30:47 

 1   
     chain=forward action=accept src-address=192.168.2.16 
     src-mac-address=00:0E:2E:C2:EC:D2 

 2   
     chain=forward action=accept src-address=192.168.2.17 
     src-mac-address=00:4F:62:05:68:8B 

 3   chain=forward action=accept src-address=192.168.2.101 
     src-mac-address=00:4F:62:05:68:8B 

 4   
     chain=forward action=accept src-address=192.168.2.20 
     src-mac-address=00:4F:62:05:68:8B 

 5   chain=forward action=accept src-address=192.168.2.101 
     src-mac-address=00:4F:62:05:68:8B 

 6   
     chain=forward action=accept src-address=192.168.2.18 
     src-mac-address=00:0E:2E:C2:A3:74 

 7   
     chain=forward action=accept src-address=192.168.2.19 
     src-mac-address=00:0E:2E:C2:EC:63 content="" 

 8   chain=forward action=accept src-address=192.168.2.104 
     src-mac-address=00:0E:2E:C2:EC:63 

 9   ;;; Test AP
     chain=forward action=accept src-address=192.168.2.166 
     src-mac-address=00:0E:2E:D9:D9:3F 

10   chain=forward action=accept src-address=192.168.2.107 
     src-mac-address=00:0E:2E:D9:D9:3F 

11  ;;; Logovani adres
     chain=forward action=log src-address=192.168.2.0/24 
     log-prefix="Nepovolena adresa" 

12  ;;; Ostatni nepovolene adresy
     chain=forward action=drop src-address=192.168.2.0/24

mac adresy jsou klientovy AP, ktery nepropoustej mac sitovky. Muzete me nejak nakopnout co s tim ? Diky.

ef · Příspěvekod ef » 17 years ago

Pokud ti to neprojde tak se ti něco loguje a zlogu vyčteš proč, Jestli se tam nic neloguje tak máš problém jinde. pošli demo na SZ se ti na to můžu mrknout

Skc · Příspěvekod **Skc** » 17 years ago

ef píše:Pokud ti to neprojde tak se ti něco loguje a zlogu vyčteš proč, Jestli se tam nic neloguje tak máš problém jinde. pošli demo na SZ se ti na to můžu mrknout

Tak uz jsem na to prisel ... klasicka chyba mezi zidli a klavesnici. :oops:

Ale stejne "ef" diky za ochotu :wink:

classic.ISPforum.cz

Svazani MAC s IP.

pravidla za accept

Asi zacatecnicky problem

Re:

Re: Svazani MAC s IP.

Re: Svazani MAC s IP.