http://forum.promedia.cz/routeros.cz/vi ... =1087#1087
jali píše:Melo by to jit pres Radius
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Svazani MAC s IP.
radius
vis jak na to?
http://forum.promedia.cz/routeros.cz/vi ... =1087#1087
http://forum.promedia.cz/routeros.cz/vi ... =1087#1087
0 x
Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no
Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no
Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
daly by se tyhle pravidla generovat nejakym scriptem z "ip > DHCP server > leases" ??a pokud by se k tomu zaznamu pridal nejaky popisek script by to rozpoznal a nevytvoril pravidlo ?(prechazim na MK , uz jsem zapsal vsechny IP a MAC a nerad bych to tam datloval znova. ten popisek kuli lidem kteri jsou na siti ale nechteji net)
0 x
TooM-As píše:Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no
Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no
Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
daly by se tyhle pravidla generovat nejakym scriptem z "ip > DHCP server > leases" ??a pokud by se k tomu zaznamu pridal nejaky popisek script by to rozpoznal a nevytvoril pravidlo ?(prechazim na MK , uz jsem zapsal vsechny IP a MAC a nerad bych to tam datloval znova. ten popisek kuli lidem kteri jsou na siti ale nechteji net)
S DHCP neodporucam takyto script, lebo kazde bezne "podla normy" fungujuce zariadenie posle MAC adresu sietovky na broadcast, aby vyziadal IP pre PC, ale dalsia komunikacia je uz schovana za samotnou MAC HW klienta(typicke treba pre Ovislink 1120, Dlink102 apod...). Pozor na to. Vynimkou moze byt divocina u zariadeni 1590
Tam by to treba fungovalo ok...
0 x
skrebon píše:TooM-As píše:Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no
Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no
Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
daly by se tyhle pravidla generovat nejakym scriptem z "ip > DHCP server > leases" ??a pokud by se k tomu zaznamu pridal nejaky popisek script by to rozpoznal a nevytvoril pravidlo ?(prechazim na MK , uz jsem zapsal vsechny IP a MAC a nerad bych to tam datloval znova. ten popisek kuli lidem kteri jsou na siti ale nechteji net)
S DHCP neodporucam takyto script, lebo kazde bezne "podla normy" fungujuce zariadenie posle MAC adresu sietovky na broadcast, aby vyziadal IP pre PC, ale dalsia komunikacia je uz schovana za samotnou MAC HW klienta(typicke treba pre Ovislink 1120, Dlink102 apod...). Pozor na to. Vynimkou moze byt divocina u zariadeni 1590
to jsi me asi trochu nepochopil. jen jsem nechtel znovu zadavat do FW vsechny ip a mac adresy , chtel jsem jen script co kdyu se susti tak vytvori tyhle FW zaznamy sam a ip a mac adresy bude brat ze zapisu v dhcp leases (nespoustel by se porad ale jen kdyz bych pridal nejaky zaznam a rucne tento script spustil.
0 x
Jan Kořistka píše:Doporučuji firewallové pravidlo. Pro 2.9.6Kód: Vybrat vše
add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no
Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek
dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.Kód: Vybrat vše
add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no
Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).
Pripadam si jako blb, ale me tohle nefunguje, doted jsem myslel ze ano. Mam pro svou ip danou mac a pod tim drop pravidlo. Pri me zmene ip se v dropu zobrazuji pakety, ale inet jede dal. Dokonce jsem to dal uplne na zacatek vsech forward pravidel a nic. Kde je pls zakopany pes. Diky.
0 x
-
LaSolitaire
- Příspěvky: 82
- Registrován: 19 years ago
- Kontaktovat uživatele:
LaSolitaire píše:A ta MAC, je to opravdu MAC, kterou vidi ten router?
Podivej se do ARP, jaka IP je k tomu prirazena.
Problem byl jinde. Ono vse bylo nastaveno dobre, jenom jsem mel zaply web proxy a s tim to nepracovalo. Vypl jsem jej a vse je v poradku. Ted se mi objevil u verze 2.9.6 jiny problem. Po tom co jsem udell vcera reboot routru se mi prestaly zapisovat pakety u zaznamu pro svazani mac+ip. Nez jsem to rebootoval tak tam naskakovaly. Nic jsem nemenil, takze me je to zahadou. Ostatni polozky ve firewallu se zobrazuji tak jak maji, spise data u nich.
0 x
A funguje to, ikdyz musim jednu MAC priradit pro vic IP? (za APclienta mam switch a vic PC, vidim ale jen MAC APclienta)
No a kdyz to FW pravidlo zadam na hraničnim routeru, tak se nezadouci MAC do netu do site nedostane, ale IP si klidne zmenit muze a v ramci vnitrni site do jinemu uzivateli stejne nahlasi kolizi, nejde toto nejak osetrit?
No a kdyz to FW pravidlo zadam na hraničnim routeru, tak se nezadouci MAC do netu do site nedostane, ale IP si klidne zmenit muze a v ramci vnitrni site do jinemu uzivateli stejne nahlasi kolizi, nejde toto nejak osetrit?
0 x
No a jeste jeden dotaz: Drive jsem pouzival jako router M0N0WALL a tam mi to automaticky pri kolizi IP kdekoliv v siti do logu vypsalo ty dve MAC adresy, ktere spolu koliduji, nejde neco takoveho vycist nejak jednoduse v MK? Mam v siti kolem 100 IP a nechce se mi je moc vypisovat. Mozna by mi stacil port, na kterym to testuje vramci site jedinecnost IP adresy a to bych pak v FW logoval, nic jinyho me nenapada
0 x
-
StoupaLutin
- Příspěvky: 211
- Registrován: 19 years ago
- Bydliště: Lutín
- Kontaktovat uživatele:
-
StoupaLutin
- Příspěvky: 211
- Registrován: 19 years ago
- Bydliště: Lutín
- Kontaktovat uživatele:
Zjednodušeně řečeno:
1) každý dostává z DHCP serveru automaticky stejnou IP adresu (na základě static leasu - resp. MAC adresy) .. pokud není static záznam, nedostane IP adresu
2) každá IP adresa (pokud by si ji někdo zadal ručně) je na firewallu zkontrolována jestli jede se správnou MAC adresou - pokud ne .. nejede za GW
3) pokud dojde ke kolizi IP adres (a zatím se to stalo jednou s jednou síovou tiskárnou a resp. chybou při konfiguraci), lze to kontrolovat poroznáváním ARP tabulek různých zařízení (Routery, switche, PCs) a pokud existuje SNMP management, distanu upozornění na mail, ICQ, SMS (kam chci), switch automaticky udělá admin-down kolidujících portů (resp. portů kde jsou kolidující IP adresy) a vše jede za pás sekund zase dál
Určitě tohle nezablokuje celou sí (jak tu někdo psal), ale jen ty např. 2 kolidující IP adresy.
Má to jednu podmínku: používat "chytré switche" (s managmentem) i ostatní zařízení (MT je dost "chytrý") a mít SNMP správu sítě (resp. nějaký SW na to)...
A doufám že jsem sem nanapsal moc blábolů a nepopudím moc rejpalů
1) každý dostává z DHCP serveru automaticky stejnou IP adresu (na základě static leasu - resp. MAC adresy) .. pokud není static záznam, nedostane IP adresu
2) každá IP adresa (pokud by si ji někdo zadal ručně) je na firewallu zkontrolována jestli jede se správnou MAC adresou - pokud ne .. nejede za GW
3) pokud dojde ke kolizi IP adres (a zatím se to stalo jednou s jednou síovou tiskárnou a resp. chybou při konfiguraci), lze to kontrolovat poroznáváním ARP tabulek různých zařízení (Routery, switche, PCs) a pokud existuje SNMP management, distanu upozornění na mail, ICQ, SMS (kam chci), switch automaticky udělá admin-down kolidujících portů (resp. portů kde jsou kolidující IP adresy) a vše jede za pás sekund zase dál
Určitě tohle nezablokuje celou sí (jak tu někdo psal), ale jen ty např. 2 kolidující IP adresy.
Má to jednu podmínku: používat "chytré switche" (s managmentem) i ostatní zařízení (MT je dost "chytrý") a mít SNMP správu sítě (resp. nějaký SW na to)...
A doufám že jsem sem nanapsal moc blábolů a nepopudím moc rejpalů
0 x