Svazani MAC s IP.

[jahoo]

no mě by stačilo zjistit ty kolidujici MAC, dal uz bych si to nejak vyresil, ale nevim kde je zjistit

[bob]

Kolidujuce IP a MAC zistis v ARP zaznamoch

[birkof]

Jde to zjistit celkem snadno. Stačí přidat fw pravidlo, které když nevyhový podmínce, tak se zapíše na Adress List jeho IP adresu do blacklistu a pak se jedním pravidlem blokuje vše z blacklistu. Easy, simple, efective.

Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.

Šel bych přes ARP...

Takze natvrdo pridat zaznamy do ARP, to neni problem. Ale moznost zjistit kdo se o neco pokousi timto asi nepujde, ze? Nebo nejake dalsi opatreni k tomuhle?

Tak, co se děje na druhé straně "drátu" asi neovlivníte , resp. to z principu věci nejde. Teda pokud nevládnete nad klientama... Takže jedině ručně ARP. Jinak určitě lze logovat, co se děje, ale s tím neporadím - v MT jsem nováček. Možná by někdo zkušenější spíchnul nějakej script s alertem.

[gsmsoft]

Nevie niekdo napisat presny manual ako to nactavit cez winbox som zaciatocnik dakujem

[pepulis]

Nevie niekdo napisat presny manual ako to nactavit cez winbox som zaciatocnik dakujem

Ozvi se vecer na ICQ, dam ti demo a pak to sem hod. Mozna se najde nekdo, kdo bude rychlejsi a vlozi to drive .

[TOMIK]

Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.

ŠLO BY TO TAKHLE NASTAVIT NEBO NASTAVUJE SE TAKHLE TO ABY MK POVOLIL PRISTUP JEN ČLOVĚKU S IP ZARIZENI S MAC

já to nastvavil takhle ale asi takhle se to nenastavuje nebo jsem někde udělal chybu

jako první krok jsem nastavil v arp klienty co by měli mýt přístup

/ip/arp a přidal jsem ip a mac

pak jsem na interface ap povolil pouzivani arp a myslel jsem že mi toto stačí

ale asi ne .

[pepulis]

Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.

ŠLO BY TO TAKHLE NASTAVIT NEBO NASTAVUJE SE TAKHLE TO ABY MK POVOLIL PRISTUP JEN ČLOVĚKU S IP ZARIZENI S MAC

já to nastvavil takhle ale asi takhle se to nenastavuje nebo jsem někde udělal chybu

jako první krok jsem nastavil v arp klienty co by měli mýt přístup

/ip/arp a přidal jsem ip a mac

pak jsem na interface ap povolil pouzivani arp a myslel jsem že mi toto stačí

ale asi ne .

Chces-li na MK poustet pouze ty co jsou tebou definovani a povoleni, musis to resit pres firewall. To co jsi udelal v arp bylo jen, ze jsi dynamicke zaznamy v arp tabulce hodil do statickych, pokud se nepletu.

[TOMIK]

Melo by to jit pres Radius

tak na to si uz vubec netroufnu kdyxz jsem to nerozmakal pres arp

[TOMIK]

Jakym zpusobem resite to aby si uzivatele nemenily IP adresu. Mate to nastaveno ve firewallu a nebo,nejsem si ted jisty, pridany zaznamy do arp pro danou ip danou mac.

ŠLO BY TO TAKHLE NASTAVIT NEBO NASTAVUJE SE TAKHLE TO ABY MK POVOLIL PRISTUP JEN ČLOVĚKU S IP ZARIZENI S MAC

já to nastvavil takhle ale asi takhle se to nenastavuje nebo jsem někde udělal chybu

jako první krok jsem nastavil v arp klienty co by měli mýt přístup

/ip/arp a přidal jsem ip a mac

pak jsem na interface ap povolil pouzivani arp a myslel jsem že mi toto stačí

ale asi ne .

Chces-li na MK poustet pouze ty co jsou tebou definovani a povoleni, musis to resit pres firewall. To co jsi udelal v arp bylo jen, ze jsi dynamicke zaznamy v arp tabulce hodil do statickych, pokud se nepletu.

me jde o to aby se na to ap pripojily jen lidi co maji urcite mac a ne jine

[pepulis]

me jde o to aby se na to ap pripojily jen lidi co maji urcite mac a ne jine[/quote]

Jasne chapu. No pokud mas AP postavene na MK a cm9 (mozna ze nekde v tomto threadu to pises, nevim), tak se ti bez toho aniz bys je povolil do acces listu, nepripoji = nebudou fungovat. Pokud nemas cm9 AP, ale obyc HW AP, tak tam se ti pri svazani mac+ip sice pripoji, ale nebudou moct nic delat v rámci AP, site atd. Pokud nechces aby se ti pripojili vubec na HW AP, pouzij wep apod. veci. Snad neplacam

Pokud nezapomenu, tak vecer sem dam vyexportovane pravidlo ve firewallu jak na to. Kdybych zapomnel, pripomente pres PM, ICQ.

[pepulis]

Jak jsem slibil, vkladam jak na vazbu mac+ip. Ti co mi pomahali, popr. mi poradili jak na to se snad neurazi, ze to zverejnuji. Jde predce o pomoc jinym.

add chain=virus action=jump jump-target=mac+ip comment="Virus" disabled=no

add chain=mac+ip in-interface=LAN src-address=192.168.128.20 \
src-mac-address=00:0E:2E:5A:C8:CC action=return comment="Kontrola mac+ip \
Server" disabled=no

add chain=mac+ip in-interface=LAN src-address=192.0.0.0/8 \
action=add-src-to-address-list address-list="změna mac+ip nebo nepovolená \
ip" address-list-timeout=6h comment="" disabled=no

[TOMIK]

me jde o to aby se na to ap pripojily jen lidi co maji urcite mac a ne jine

Jasne chapu. No pokud mas AP postavene na MK a cm9 (mozna ze nekde v tomto threadu to pises, nevim), tak se ti bez toho aniz bys je povolil do acces listu, nepripoji = nebudou fungovat. Pokud nemas cm9 AP, ale obyc HW AP, tak tam se ti pri svazani mac+ip sice pripoji, ale nebudou moct nic delat v rámci AP, site atd. Pokud nechces aby se ti pripojili vubec na HW AP, pouzij wep apod. veci. Snad neplacam

Pokud nezapomenu, tak vecer sem dam vyexportovane pravidlo ve firewallu jak na to. Kdybych zapomnel, pripomente pres PM, ICQ.[/quote]

JJ JE TO MK A CM9

[TOMIK]

Jak jsem slibil, vkladam jak na vazbu mac+ip. Ti co mi pomahali, popr. mi poradili jak na to se snad neurazi, ze to zverejnuji. Jde predce o pomoc jinym.

add chain=virus action=jump jump-target=mac+ip comment="Virus" disabled=no

add chain=mac+ip in-interface=LAN src-address=192.168.128.20 \
src-mac-address=00:0E:2E:5A:C8:CC action=return comment="Kontrola mac+ip \
Server" disabled=no

add chain=mac+ip in-interface=LAN src-address=192.0.0.0/8 \
action=add-src-to-address-list address-list="změna mac+ip nebo nepovolená \
ip" address-list-timeout=6h comment="" disabled=no

ted jsem to aplikoval diky moc za tento navod

aktualizace:

tak ted jsem se to rozhodl skusit a napojil jsem se nejdriv s ip povolenou a pak s ip nepovolenou jenže obe jedou takže asi zrada někde a přitom jsem to dělal jak jste to tu napsal

ale možná je to tím ze druhy mk na kterym toto chci aplikovat je jen pruchozi omezeni atd dela prvni nemel bych to nastavit toto pro druhy mk na prvnim mk

[Alexandr]

Mě by zajímala možnost následující:
Má někdo nápad, či snad řešil už to někdo, řešení povolení MAC na IP tak, že:
1. mám-li DHCP nastaveno tak, že je leases jsou static only.
2. DHCP zapíše ARP záznam, pokud IP přidělí

A teï, potřeboval bych ostatní nesvázané (nepřidělené) IP z rozsahu, např. 192.168.0.0/24 zakázat-nepovolit? Skptík?

Díky ...

[StoupaLutin]

Mě by zajímala možnost následující:
Má někdo nápad, či snad řešil už to někdo, řešení povolení MAC na IP tak, že:
1. mám-li DHCP nastaveno tak, že je leases jsou static only.
2. DHCP zapíše ARP záznam, pokud IP přidělí

A teï, potřeboval bych ostatní nesvázané (nepřidělené) IP z rozsahu, např. 192.168.0.0/24 zakázat-nepovolit? Skptík?

Díky ...

nikoliv script .. jen poslední pravidlo na firewallu, které všechno ostatní (resp.nepovolené) zahodí (dropne).