classic.ISPforum.cz

Da se nejakudelat na MK aby se k MAC adrese pridelila IP adresa a pokud by tonekdo skousel prepsat takby ho to nepustilo???? Priklad uzivatel na IP 10.10.10.2 a MAC 00:11:22:33:44:55 a pokud by uzivatel dal jinou IP napriklad 10.10.10.3 tak by ho to odmitlo a treba zablokovalo MAC adresu abych vedel kdo to dela, samozrejme mu pak nepujde net a ja to zjistim az zavola abude si vymejslet ze nic a pritom to zkousel prehodit. Slo by to nejak udelat?? Nebo ma tohlenekdo nejak vymysleny?? Dekuji za napady.

staticky zaznam v ARP

Já to řeším takto ve Firewallu - Filter:
chain=forward action=drop src-address=!10.1.85.20 src-mac-address=00:11:22:33:44:55

před to můžeš ještě vložit pravidlo, které to bude logovat:
chain=forward action=log src-address=!10.1.85.20 src-mac-address=00:11:22:33:44:55 log-prefix="PODVODNIK"

případně ještě přidej statický ARP záznam

Honza

nebo tak, ale statickej ARP podle me staci

Maxik píše:nebo tak, ale statickej ARP podle me staci

Když máš statický záznam oproti pravidlu tak je fajn že to nezabírá žádný procesorový čas jako pravidlo ale pokud máš jinou konfiguraci MAC a IP než je uvedená v tabulce, tak se nedostaneš už ani na toho mikrotika, ne? V případě pravidla to ale možné je. Když si například u klienta u kterého měníš zařízení a nemohl sis to doma nachystat tak máš smůlu, v případě pravidla se na ten mk připojíš a můžeš si to aspoň opravit

Já to používám tak, jak jsem uvedl výše, z jednoho důvodu:
pokud udělám statický ARP záznam, tak si zákazník může změnit IP adresu a připojení mu bude fungovat,
ale pokud mám pravidlo, tak nemůže použít na své MAC adrese jinou IP adresu, protože ho to pravidlo nepustí.
Pokud si změní MAC adresu, tak to samozřejmě ztrácí význam. Pokud mu budu měnit zařízení, tak to nové
zařízení bude mít jinou IP adresu a připojení pojede. Jen pak musím změnit to pravidlo, aby to zase omezovalo.
Asi to vysvětluju složitě, ale princip je jednoduchý.
Honza

pokud přepneš ARP u interfacu na disable, nemusíš mít žádný pravidlo, pouze jenom statickou ARP tabulku, pak se nebudou vytvářet nový záznamy a budou tam jenom ty zadaný.

hapi píše:pokud přepneš ARP u interfacu na disable, nemusíš mít žádný pravidlo, pouze jenom statickou ARP tabulku, pak se nebudou vytvářet nový záznamy a budou tam jenom ty zadaný.

To je zajímavý. Takhle mě to nenapadlo. Ale zase pokud budu chtít někoho novýho připojit tak musím pravidlo vytvořit dopředu? Na místě se na mikrotik nedostanu pokud to dobře chápu

no teoreticky pokud budeš mít u sebe winbox tak by ses tam měl dostat, na druhou stranu jak bys to řešil kdyby jsi měl wifinu zabězpečenou podle MAC?

Mě tohle zabezpeční napadá pro LAN né pro bezdrát. Představuju si to tak že naroutuju nějaký blok adres na "panelák" pak nechám ARP zaplé. Připojím klioše. V ARP uvidím záznam - svážu IP + MAC a potom ARP u interfacu vypnu. Pokud budu připojovat někoho novýho tak to zas na chvilku zapnu....

šlo by to tak?

hapi píše: na druhou stranu jak bys to řešil kdyby jsi měl wifinu zabězpečenou podle MAC?

To je fakt, když měním klientské zařízení, stejně si to prostě musím nachystat dopředu a nebo otravuju pak kolegu :)
Asi to na jednom mk zkusím, ono když necháváš kontrolovat pravidlem mac+ ip na RB600 při datovém toku kolem 15mbit tak to docela dost žere výkon ;)

Panove tak naprosta parada uz jsem to udelal jak jste napsaly a super, dal jsem si tam i to logovani a naprosta parada uz vim kdo co dela. A pritom je to tak jednoduche . Mam jeste dotaz ohledne toho jak se mi to zapisuje do logu, da se to nejakym sriptikem posilat na mailik a neco treba zalohovat cely ten log treba po jednom dni ne tak....to proto abych vedel kdo to zkousel kdyz se hned nedostanu k MK abych se podival a hlavne on se ten log premazava tak ze tam nevidim vse...

neloguj to ma mk , ale loguj to na centralni log server a mas to vyresene

Hih, ale kdyz nemam centralni log server....co je potreba k jeho postaveni???

cokoliv co posloucha na portu 514/udp (syslog)