Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Le_Ze 09. 03. 2022, 07:58:57
-
Dobrý den.
Jak zablokovat noťas, který se muže připojit jak přes lan, tak přes wifi?
Potřebují, aby neměl přistup ani do vnitřní sítě.
Děkují.
-
Ve firewallu v záložce Advanced je možnost source mac address. Tak udělat drop pravidlo pro tuto MAC.
-
To už jsem zkoušel.
https://mo-nirul.blogspot.com/2019/03/mikrotik-block-user-by-mac-address.html?m=1
Furt mám IP a mužu se hrabat ve vnitřní siti, jen mi nejede net.
-
Opět dotaz bez více informací. Budu předpokládat, že se jedná o domácí wifi router, ke kterému napřímo (bez dalšího switche) připojujete notebook - ať už kabelem nebo přes WiFi.
Tento wifi router obsahuje interní switch (bridge), který propojuje zařízení na vnitřní síti. Pokud chcete daný notebook blokovat i ve vnitřní síti, musíte tak učinit již na tomto switchi (bridge). Takže obdobné pravidlo jako ve firewallu vytvořte i v sekci Bridge -> zál. Filters a opět Drop pravidlo pro chain Forward.
Jen upozorňuji, že MAC adresa notebooku bude na LAN jiná než WiFi (tedy budete blokovat dvě MAC adresy). Druhak Vám to může zkomplikovat generování náhodných MAC adres pro WiFi ve Win 10 (lze zapnout). V neposlední řadě, MAC adresa na síťovkách se dá změnit a lehce blokování obejít.
-
Ono to je v praci.
Mikrotik je v technické mistnosti.
Od něj je UTP do kanclu, kde je routr TP-link s wifi a s vypnutým DHCP, takže IP přiděluje mikrotik.
-
Tak to máte smůlu, musel byste blokovat MAC adresu notebooku už na tom TPlinku. Na mikrotiku můžete blokovat co chcete, ale minimálně na zařízení zapojené do stejného TPlinku se z toho notebooku dostanete.
-
pokud je tplink v modu AP, tak se to prehazuje na mikrotik a melo by stacit blokovani na nem
-
IP - DHCP server.
Když nastavím počitači static, tak mám v general block access
To je na co? Jsem myslel, že to zablokuje mac, a níc.
-
Jak je na tom ten tplink s vlan?
Nejspolejlivejsi by bylo uzavrit ho do samostatne vlan, kde nic jineho nebude a tim padem se nikam nedobusi.
Zalezi od tplinku, jestli to bude fungovat, hledej Mac-based vlan at vis co chces nakonfigurovat.
-
IP adresa neni MAC adresa
-
Tak už jsem to vyřešil.
-
tak to je super.
Hlavne se s nama, prosimte, nedel o reseni, to by bylo neslusny.
-
Ono stači nastavit static IP a zadat IP mimo rozsah DHCP a jelikož žadný DHCP servr v tom rozsahu nemám, žadnou IP nedostane.
Nebo vytvořit dalši DHCP servr v jiném rozsahu ve kterem nejede net.
Každy kdo se připojí, dostane IP v jinem rozsahu než jsou zařizení a net vyply.
Pokud ho chcí povolit, stači mu podle MAC nastavit static IP a zadatt IP v tom funkčním subnetu.
Když mám seznám MAC adres všech co mužou na internet, da se někde povolit jen tyto MAC a zbytek drop? Na firewallu se da zadat jen jedna.
-
Blokování na základě IP adres je ještě naivnější než dle MAC adres. Blokace přístupu i do lokální sítě na hraničním routeru postrádá smysl (měla by smysl pouze za specifických podmínek). Změnit / nastavit IP nebo MAC na klientovi je snadné, a odradí to leda BFU. Pro řízení přístupu do lokální sítě (ať už LAN či WLAN) se používá 802.1x (raidus), nejlépe v kombinaci s VLAN, ale na to už je třeba připravená infrastruktura.
-
Ono to je v praci.
Mikrotik je v technické mistnosti.
Od něj je UTP do kanclu, kde je routr TP-link s wifi a s vypnutým DHCP, takže IP přiděluje mikrotik.
No, a jak moc je nereálný mu ten TPlink nahradit mikrotikem Mikrotik RB931-2nD a na něm ho zavřít?
-
Ono stači nastavit static IP a zadat IP mimo rozsah DHCP a jelikož žadný DHCP servr v tom rozsahu nemám, žadnou IP nedostane.
A proč prostě nevytáhneš kabel a nevypneš wifinu v tom stroji? Pokud ho máš pod takovou kontrolou, že ti na něm stačí nastavit nesmyslnou ip adresu, tak prosté odpojení udělá tuhle práci taky. A nebude to zavádět bordel do nastavení sítě.
Apropo, ověřil sis, že to tu tvoji náhodnou IP fakt nedostane? Taky je možné, že ji sice dostane, ale neexistuje gateway, přes kterou by se domluvil s něčím v jiném rozsahu. Ale pořád může být schopný komunikovat s jiným strojem, co dostane sousední nesmyslnou adresu. Já to totiž takhle doma lehce zneužívám: mám dhcp pool, který jde třeba do .64, v něm se přiřazuje dynamicky, ale pak mám nějaká zařízení se statickou adresou, která dostávají od Mikrotiku adresu končící na .100 a víc. A síť jim funguje v pořádku.
-
No, a jak moc je nereálný mu ten TPlink nahradit mikrotikem Mikrotik RB931-2nD a na něm ho zavřít?
Máme od providera Ubiquiti, který routuje.
Bude nám ho dávat do bridge kvůli 2 důchodcům co umí vše opravit (Pat a Mat).
Už ták mi dalo dost námahy překecat majitele na toho jednoho. Chtěl je vyhodit.
Když mám seznám MAC adres všech co mužou na internet, da se někde povolit jen tyto MAC a zbytek drop? Na firewallu se da zadat jen jedna.
Toto umí i muj stařičky asus, tak vy to mělo jít v mikrotiku, ne?
-
Když mám seznám MAC adres všech co mužou na internet, da se někde povolit jen tyto MAC a zbytek drop? Na firewallu se da zadat jen jedna.
Jedno pravidlo, jedna MAC. Deset pravidel, deset MAC. ;-)
-
Hm. tak to ještě nemaj vychytane >:(
Dik.
-
Hm. tak to ještě nemaj vychytane >:(
Dik.
Bohužel MAC address listy byly u Mikrotiku už několikrát požadovány ale zatím bez odezvy.
-
MAC adresa je v nizsi vrstve, listovat je v IP firewallu nema smysl, respektive je to špatné řešení.
Pristup zarizeni pres povolene MAC se resi pomoci ARP.
Na portu/bridge pro LAN se nastaví Reply only/Disabled a "povolené" MAC adresy se přidají do /ip arp
Pokud za Mikrotikem neni zarizeni s vlastni ARP tabulkou, neuvidi se neuvedena zarizeni ani mezi sebou a to ani v případě správně nastavené statické IP.
-
MAC adresa je v nizsi vrstve, listovat je v IP firewallu nema smysl, respektive je to špatné řešení.
Pristup zarizeni pres povolene MAC se resi pomoci ARP.
Na portu/bridge pro LAN se nastaví Reply only/Disabled a "povolené" MAC adresy se přidají do /ip arp
Pokud za Mikrotikem neni zarizeni s vlastni ARP tabulkou, neuvidi se neuvedena zarizeni ani mezi sebou a to ani v případě správně nastavené statické IP.
Ono sa to ešte na prvej stránke spomenulo, že tu diskutujú o /interface/bridge/filter, nie o /ip/firewall, takže sú na Layer 2.
-
Pristup zarizeni pres povolene MAC se resi pomoci ARP.
Na portu/bridge pro LAN se nastaví Reply only/Disabled a "povolené" MAC adresy se přidají do /ip arp
Pokud za Mikrotikem neni zarizeni s vlastni ARP tabulkou, neuvidi se neuvedena zarizeni ani mezi sebou a to ani v případě správně nastavené statické IP.
Tímhle ale omezíte přístup zařízení do a skrz mikrotik, nikoliv komunikaci mezi zařízeními v lokální síti. Tazatel píše, že za mikrotikem má ještě tplink, takže komunikace v interní síti může jít i jen přes tplink a mikrotik obejít. Nehledě na to, že /ip arp nemá na provoz v rámci bridge v mikrotiku vliv.