Svazani MAC s IP.

[Alexandr]

Mě by zajímala možnost následující:
Má někdo nápad, či snad řešil už to někdo, řešení povolení MAC na IP tak, že:
1. mám-li DHCP nastaveno tak, že je leases jsou static only.
2. DHCP zapíše ARP záznam, pokud IP přidělí

A teï, potřeboval bych ostatní nesvázané (nepřidělené) IP z rozsahu, např. 192.168.0.0/24 zakázat-nepovolit? Skptík?

Díky ...

nikoliv script .. jen poslední pravidlo na firewallu, které všechno ostatní (resp.nepovolené) zahodí (dropne).

Mno jasně, ale jak dostat ty IP s MAC z DHCP do pravidel?

[StoupaLutin]

Mě by zajímala možnost následující:
Má někdo nápad, či snad řešil už to někdo, řešení povolení MAC na IP tak, že:
1. mám-li DHCP nastaveno tak, že je leases jsou static only.
2. DHCP zapíše ARP záznam, pokud IP přidělí

A teï, potřeboval bych ostatní nesvázané (nepřidělené) IP z rozsahu, např. 192.168.0.0/24 zakázat-nepovolit? Skptík?

Díky ...

nikoliv script .. jen poslední pravidlo na firewallu, které všechno ostatní (resp.nepovolené) zahodí (dropne).

Mno jasně, ale jak dostat ty IP s MAC z DHCP do pravidel?

...přepsat? - my to tak dělali - máme jich tu asi 400-600 (ani nevím přesně) a šlo to ... pak se to už jen udržuje a to je v pohodě...

[soucez]

Skromný dotaz: Dojde mi k ověření IP+MAC když používám HW APčka u klientů? Moje doměnka je, že by to mohlo jít když IPku si to PCčko vyžádá ze static leases DHCP správně. Když třebas loguju nějakou komunikaci tak sice vidím MAC adresu toho HW APčka a u něj IPku daného PC, ale DHCPko taky funguje podle MAC PCčka. Můžu tedy ve FW použít ověřování IP+MAC i když mám za jedním HW APčkem více počítačů?

[skrebon]

Skromný dotaz: Dojde mi k ověření IP+MAC když používám HW APčka u klientů? Moje doměnka je, že by to mohlo jít když IPku si to PCčko vyžádá ze static leases DHCP správně. Když třebas loguju nějakou komunikaci tak sice vidím MAC adresu toho HW APčka a u něj IPku daného PC, ale DHCPko taky funguje podle MAC PCčka. Můžu tedy ve FW použít ověřování IP+MAC i když mám za jedním HW APčkem více počítačů?

Nie nemozes. Jedine station-wds v MK, alebo tusim niektore dlinky(1590) prepustaju mac svojich sietoviek, co nie je ziadna slava. DHCP release ti spravne priradi za HW klientom svojim pcckam jejich spravne ip, ale pod touto ip urcite nekomunikuju. Aspon nie HW klienti co poznam(ani jeden realtek a zyxel chip )

[soucez]

Skromný dotaz: Dojde mi k ověření IP+MAC když používám HW APčka u klientů? Moje doměnka je, že by to mohlo jít když IPku si to PCčko vyžádá ze static leases DHCP správně. Když třebas loguju nějakou komunikaci tak sice vidím MAC adresu toho HW APčka a u něj IPku daného PC, ale DHCPko taky funguje podle MAC PCčka. Můžu tedy ve FW použít ověřování IP+MAC i když mám za jedním HW APčkem více počítačů?

Nie nemozes. Jedine station-wds v MK, alebo tusim niektore dlinky(1590) prepustaju mac svojich sietoviek, co nie je ziadna slava. DHCP release ti spravne priradi za HW klientom svojim pcckam jejich spravne ip, ale pod touto ip urcite nekomunikuju. Aspon nie HW klienti co poznam(ani jeden realtek a zyxel chip )

Proč by nekomunikovaly pod IPkou daného PC? Vždy bandwitch control dělám také podle IP adres daných PC a jsou třeba za deseti HW AP klientama. Zkoušel jsem logovat provoz neplatičů(jen aby se mi zapsaly do logu v případě že zkouší net, a vypsalo mi to jejich IP i jejich MAC a to jsou připojení za společným klient APčkem a toto je naladěné na AP kterérému dělá připojení klient a ten je zase na další AP a to je napojené na Mikrotika. Takže v tomto případě se mi nezobrazovala MAC AP klienta ale fakt rovnou MAC daného PC. Tak nevím

[skrebon]

Nemate pravdu, Realteky(napr minitar, ovis 1120,5460,dcom102) chipy v mode klient opravdu skryvaju mac pocitacov, ci je ich tam 5 alebo 50. Jedine, co sa opravdu ukaze na routri z PC, je pri poziadani IP z dhcp servera. Vtedy je prepustena mac sietovky PC. ALe len pre ziskanie IP. Pre komunikaciu nie

[soucez]

Nemate pravdu, Realteky(napr minitar, ovis 1120,5460,dcom102) chipy v mode klient opravdu skryvaju mac pocitacov, ci je ich tam 5 alebo 50. Jedine, co sa opravdu ukaze na routri z PC, je pri poziadani IP z dhcp servera. Vtedy je prepustena mac sietovky PC. ALe len pre ziskanie IP. Pre komunikaciu nie

OK. Je to tak. Máš pravdu. Přehlédl jsem se.

[Gregy]

A nešlo by svázání řešit pomocí arp? Dal bych všechny záznamy static a pak bych dal v nastavení interfacu arp-reply-only

To by mělo fakčit ne?

[Petr Vlašic]

Fakčí...a docela bez větších problémů

[djdodo]

Co treba v debianu: apt-get install freeradius , pak chvilku pockat az se nainstaluje a nakonec si do nej nahazet postupne vsechny MAC zakazniku? Ja neco takove planuji,ale jsem na to dost linej, tak me ted jeste napadlo logovat vyrazeny pokusy o pripojeni a pak logy posilat do nejakeho textaku,ktery snadno vkopiruji do radiusu...

[soucez]

Nemate pravdu, Realteky(napr minitar, ovis 1120,5460,dcom102) chipy v mode klient opravdu skryvaju mac pocitacov, ci je ich tam 5 alebo 50. Jedine, co sa opravdu ukaze na routri z PC, je pri poziadani IP z dhcp servera. Vtedy je prepustena mac sietovky PC. ALe len pre ziskanie IP. Pre komunikaciu nie

Nevíš jestli Compex WPE54G umí propustit MAC Adresy klientů na něj naladěných?

[pepulis]

Nemate pravdu, Realteky(napr minitar, ovis 1120,5460,dcom102) chipy v mode klient opravdu skryvaju mac pocitacov, ci je ich tam 5 alebo 50. Jedine, co sa opravdu ukaze na routri z PC, je pri poziadani IP z dhcp servera. Vtedy je prepustena mac sietovky PC. ALe len pre ziskanie IP. Pre komunikaciu nie

Nevíš jestli Compex WPE54G umí propustit MAC Adresy klientů na něj naladěných?

Mam ted tohle AP v rezimu klient, nejak jsem s tim nelaboroval, vcera uz nezustal cas, ale tohle AP v tomto rezimu schova vsechny mac adresy pc za nim pod jednu a to tu compexe. Ale jak rikam, mam tam zatim zakladni nastaveni a nechci vnaset nejaky chaos, ale podle me to neumi.

[soucez]

Nemate pravdu, Realteky(napr minitar, ovis 1120,5460,dcom102) chipy v mode klient opravdu skryvaju mac pocitacov, ci je ich tam 5 alebo 50. Jedine, co sa opravdu ukaze na routri z PC, je pri poziadani IP z dhcp servera. Vtedy je prepustena mac sietovky PC. ALe len pre ziskanie IP. Pre komunikaciu nie

Nevíš jestli Compex WPE54G umí propustit MAC Adresy klientů na něj naladěných?

Mam ted tohle AP v rezimu klient, nejak jsem s tim nelaboroval, vcera uz nezustal cas, ale tohle AP v tomto rezimu schova vsechny mac adresy pc za nim pod jednu a to tu compexe. Ale jak rikam, mam tam zatim zakladni nastaveni a nechci vnaset nejaky chaos, ale podle me to neumi.

Kua dneska se mnou jeden COMPEX pekně vydrbal. Jak mají ten titěrný konektůrek na napájení 3,3V tak ta samička co se na ten konektor nasazuje, má asi malinko větší průměr a kolíček v tom měl špatný kontakt. Chvilku se mi na smart switchi ukazovalo že je port od COmpexu připojen a chvilku ne... Po mírném nahnutí kolíčku je to snad OK. Takže bacha na to!

[jahoo]

Nevíš jestli Compex WPE54G umí propustit MAC Adresy klientů na něj naladěných?

No jediny zarizeni co znam, ktery neschovava mac adresi za sebe je Z-com XI-500, ale nedoporucuji ho

[Petr Vlašic]

Vidim ,že pro dost nováčků je peklo přepisovat mac adresse atp. ,tak sem tady pro ty tvory líné napsal takové základní MAC+IP Tools:

Kód: Vybrat vše

#Sonduje v ARP Tabulce a šecky nové dynamické záznamy přepisuje na statické
#Pro Mikrotik 2.9.x(asi)

:local prodleva

#Čas po ,který bude skript čekat na další kolo.Čím menší tím máte větší šanci ,že klient neunikne zraku ,ale tím větší spotřeba CPU.Doporučuju dat čas vypršení ARP záznamů(Prej defaultně u Oken 2m ,jak u MK nech radí chytřejší)
:set prodleva 2m

##########################################

#Pracovní adresář
/ip arp

:while true do={
  :foreach a in=[find dynamic=yes] do={
    add address=[get $a address] mac-address=[get $a mac-address] interface=[get $a interface]
  }
  :delay $prodleva
}


Vložte do MK jako script ,spuste ,nechte chvilku jet(myslim ,že za den sa prostřídajů na síti šecí) a až sa vam to nebude líbit tak stopnite.Doporučuju záznamy ručně prokontrolovat.
Výhody:-Pokud máte HW AP ,které klienty schovává tak to udělá statické právě z nich ,takže sa nemosíte starat estli pojede nebo ne
Nevýhody:-Pokud by ste to chtěli použit výpis z Static ARP Cache do DHCP Leases a máte HW AP schovávající MAC ,tak máte hold smolu a mosíte to ručně přepsat(pokud je jich víc tak esi už nepřipadá v úvahu to celé napsat ručně)
-Pokud někdo zrovna použije jiné IP než má a nebo bude pod man-in-the-midlo tak si to aj z nich nadělá statické ...,proto doporučuju ručně prokontrolovat

Kód: Vybrat vše

#Kopiruje IP+MAC mezi ARP Cache,Firewall Fiterem a DHCP Leases
#Pro MikroTik 2.9.X
 
:local Type
:local Chain
:local action
:local Inetrface

#Typ definující odkud kam sa bude kopirovat:
#ARP->FW
#FW->ARP
#DHCP->ARP
#ARP->DHCP
#FW->DHCP
#DHCP->FW
:set Type "FW->ARP"
 
#Pokud je zdroj nebo cíl Firewall tak prosím určete chain:
:set Chain "NET_users"

#Pokud je Cil Firewall určete prosim akci(accept,return,...)
:set action "accept"

#Interface ,které bude použito(záleží na Typu)
:set Interface "LANNET"
############################
#Pracovni adresar
/

#ARP->FW
:if ($Type="ARP->FW") do={
  :foreach i in=[/ip arp find ] do={
    /ip firewall filter add chain=$Chain src-address=[/ip arp get $i address] src-mac-address=[/ip arp get $i mac-address] in-interface=[/ip arp get $i interface] action=$action
  }
}

#FW->ARP
:if ($Type="FW->ARP") do={
  :foreach i in=[/ip firewall filter find chain=$Chain] do={
    :if ([:tobool [/ip firewall filter get $i src-mac-address]] != false) do={
      :if (($Interface = "") && ([:tobool [/ip firewall filter get $i in-interface]] != false)) do={
        /ip arp add address=[/ip firewall filter get $i src-address] mac-address=[/ip firewall filter get $i src-mac-address] interface=[/ip firewall filter get $i in-interface]
      }
      :if ($Interface != "") do={
        /ip arp add address=[/ip firewall filter get $i src-address] mac-address=[/ip firewall filter get $i src-mac-address] interface=$Interface
      }
    }
  }
}

#DHCP->ARP
:if ($Type="DHCP->ARP") do={
  :foreach i in=[/ip dhcp-server lease find ] do={
    /ip arp add address=[/ip dhcp-server lease get $i address] mac-address=[/ip dhcp-server lease get $i mac-address] interface=$Interface
  }
}

#ARP->DHCP
:if ($Type="ARP->DHCP") do={
  :if ($Interface != "") do={
    :foreach i in=[/ip arp find interface=$Interface] do={
      /ip dhcp-server lease add address=[/ip arp get $i address] mac-address=[/ip arp get $i mac-address]
    }
  }
  :if ($Interface = "") do={
    :foreach i in=[/ip arp find] do={
      /ip dhcp-server lease add address=[/ip arp get $i address] mac-address=[/ip arp get $i mac-address]
    }
  }
}

#FW->DHCP
:if ($Type="FW->DHCP") do={
  :if ($Interface = "") do={
    :foreach i in=[/ip firewall filter find chain=$Chain] do={
     :if ([:tobool [/ip firewall filter get $i src-mac-address]] != false) do={
        /ip dhcp-server lease add address=[/ip firewall filter get $i src-address] mac-address=[/ip firewall filter get $i src-mac-address]
      }
    }
  }
  :if ($Interface != "") do={
    :foreach i in=[/ip firewall filter find chain=$Chain in-interface=$Interface] do={
      :if ([:tobool [/ip firewall filter get $i src-mac-address]] != false) do={
        /ip dhcp-server lease add address=[/ip firewall filter get $i src-address] mac-address=[/ip firewall filter get $i src-mac-address]
      }
    }
  }
}

#DHCP->FW
:if ($Type="DHCP->FW") do={
  :foreach i in=[/ip dhcp-server lease find ] do={
    :if ($Interface = "") do={
      /ip firewall filter add chain=$Chain src-address=[/ip dhcp-server lease get $i address] src-mac-address=[/ip dhcp-server get $i mac-address] action=$action
    }
    :if ($Interface != "") do={
      /ip firewall filter add chain=$Chain src-address=[/ip dhcp-server lease get $i address] src-mac-address=[/ip dhcp-server get $i mac-address] in-interface=$Interface action=$action
    }
  }
}


Skript sem skoro celý(konec sem z nedostatku času odskůšat nestihl) skůšal a bez větších chyb to kopírovalo ,ale pokud sa vyskytne nějaká chyba(a ona sa vyskytne) ,tak sa ju prosim pokuste opravit a zveřejnit.Zatim je to taková spíš polofunkční konstrukce a nekontroluje vstupní data ,takže když něco špatně napíšete tak to prostě nepojede (nečekané ,že?).Celé to vyřešim až sa vrátim(za pár dnů).
Výhody:To je snad jasné
Nevýhody:Zase problémy s HW AP ,které schovávajů klientské IP(třeba když zkopírujete z ARP do DHCP ,tak mosíte ručně opravit tych ,co majů schovanů MAC-Adresu)