DHCP routerOS

[hornijan]

Dobrý den,

měl bych tu další smělý dotaz. Můžete mě prosím nasměrovat, jak vyřešit tento problém ...?

Ve firmě máme nastavený DHCP server klasicky na nějaký rozsah adres řekněme .. 192.168.1.100 - 192.168.1.200 řekněme.

Je nějaká možnost zabránit, aby se zařízení s manuálně nastavenou adresou (která spadá do rozsahu DHCP, třeba 192.168.1.101 ) připojilo ?

Jde to nějakým pravidlem, nebo se to řeší více sofistikovaně ...?

J.

[sub_zero]

Uděláš si ve forwardu firewallu pravidlo pro tu IP a dáš drop.
Nezabráníš tak ale přístupu do vnitřní sítě. Pouze se nedostane to PC na internet (pokud máš tedy to DHCP + firewall na stejném zařízení).

[ludvik]

Na inteligentnějších switchích. DHCP snooping v kombinaci s "něčím" na co si teď neumím vzpomenout ... Firewallem to nevyřešíš, to už je pozdě.

[sub_zero]

Pokud chce zabránit přístupu jen na net, tak vyřeší. Jinak pomocí port security na tom switchi.

[aliney]

Co tohle?
http://wiki.mikrotik.com/wiki/How_to_bl ... e_firewall

[hornijan]

Uděláš si ve forwardu firewallu pravidlo pro tu IP a dáš drop.
Nezabráníš tak ale přístupu do vnitřní sítě. Pouze se nedostane to PC na internet (pokud máš tedy to DHCP + firewall na stejném zařízení).

Pokud to udělám, tak mi to dropne i komunikaci ze stroje, kterej tu adresu má z DHCPka, ne..?

[net.work]

Spravne reseni Ti ted postoval Aliney....

[hornijan]

Děkuju moc ... jdu se na to vrhnout

neměl jsem refrešnuto.


h.

[sub_zero]

Spravne reseni Ti ted postoval Aliney....

a jak to tomu klientu zabrání prolízat vnitřní síť?

[aliney]

they won't receive any packets from the router

kdyz se s nim router nebavi, tak se moc daleko nedostane

[sub_zero]

they won't receive any packets from the router

kdyz se s nim router nebavi, tak se moc daleko nedostane

tohle já chápu, ale pokud má nastavenou IP adresu "na tvrdo" a je připojen do switche, kde je i zbytek infrastruktury, dostanese se přece na jakýkoli počítač v rámci toho switche.

[aliney]

v ramci switche "vidi", nicmene to stejne nesouvisi s puvodnim dotazem

[hocimin1]

pokud je ten router mikrotik tak staci na interface kde je ten DHCP server dat ARP reply-only a v DHCP serveru zaskrtne Add ARP for Leasess a je vyreseno. CO neni v DHCP to nepujde

[jedla]

jak to ale vyřešit, když mám kvůli PPTP klientům na vnitřním rozhraní, kde je i DHCP, nastavené proxy-arp???