Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: creco 30. 01. 2020, 14:08:53
-
Mám default-ní konfiguraci Mikrotiku. Na WANu (ether1) zakážu veškerý INPUT, OUTPUT, FORWARD a přesto si Mikrotik na WANu načítá konfiguraci IP přes DHCP. Dokáže mi někdo vysvětlit toto chování když je všechno blokované?
/ip firewall filter add action=drop chain=input in-interface=ether1
/ip firewall filter add action=drop chain=forward in-interface=ether1
/ip firewall filter add action=drop chain=output out-interface=ether1
Ano, šlo by vypnout DHCP klienta na Mikrotiku ale jde tu o princip jak je možné že se ta IP adresa z DHCP serveru vůbec načte. >:( >:( >:(
-
L2 ?
-
A jak to blokovat na Mikrotiku?
-
A jak to blokovat na Mikrotiku?
Vypněte DHCP klienta na WAN rozhraní. IP - DHCP client...
-
A jak to blokovat na Mikrotiku?
Vypněte DHCP klienta na WAN rozhraní. IP - DHCP client...
Mě jde o to jak to blokovat firewallem
-
DHCP klient (stejně i server, VRRP a pár dalších) pracuje přímo s raw L2 socketem, takže ho neovlivní L3 firewall.
Jde blokovat pomocí L2 firewallu v /interface bridge filter nebo (pokud to není historický ROS) asi i v /ip firewall raw.
-
Super! A nějaká ukázka konfigurace jak toho docílit?
-
Tohle by mělo zabrat.
/interface bridge filter add action=drop chain=input in-interface=ether1 ip-protocol=udp src-port=67-68
Alternativně pomůže přidat na ten interface DHCP server s poolem static-only a authoritative=yes, záleží čeho přesně chceš docílit
-
Děkuju. Snažím se docílit toho jak se takové případy konfigurují.
Bohužel příkaz nefunguje:
failure: ip matchers valid only for ip or ipv6 ethernet protocol
-
Mě jde o to jak to blokovat firewallem
Přemýšlím, jestli víte, jak funguje DHCP, když Vás nejvíce zajímá, jak blokovat přidělování adresy, o kterou si ten Mikrotik sám žádá...
-
/interface bridge filter
add action=drop chain=input dst-port=67-68 in-interface=ether1 ip-protocol=udp mac-protocol=ip