Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Le_Ze 09. 03. 2022, 07:58:57

Název: MikroTik - zablokování přes MAC adresu
Přispěvatel: Le_Ze 09. 03. 2022, 07:58:57
Dobrý den.
Jak zablokovat noťas, který se muže připojit jak přes lan, tak přes wifi?
Potřebují, aby neměl přistup ani do vnitřní sítě.
Děkují.
Název: Re:Mikrotik - zablokovaní přes MAC adresu
Přispěvatel: Klupik 09. 03. 2022, 08:03:24
Ve firewallu v záložce Advanced je možnost source mac address. Tak udělat drop pravidlo pro tuto MAC.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: Le_Ze 09. 03. 2022, 09:42:07
To už jsem zkoušel.
https://mo-nirul.blogspot.com/2019/03/mikrotik-block-user-by-mac-address.html?m=1

Furt mám IP a mužu se hrabat ve vnitřní siti, jen mi nejede net.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: 5nik 09. 03. 2022, 09:54:25
Opět dotaz bez více informací. Budu předpokládat, že se jedná o domácí wifi router, ke kterému napřímo (bez dalšího switche) připojujete notebook - ať už kabelem nebo přes WiFi.
Tento wifi router obsahuje interní switch (bridge), který propojuje zařízení na vnitřní síti. Pokud chcete daný notebook blokovat i ve vnitřní síti, musíte tak učinit již na tomto switchi (bridge). Takže obdobné pravidlo jako ve firewallu vytvořte i v sekci Bridge -> zál. Filters a opět Drop pravidlo pro chain Forward.
Jen upozorňuji, že MAC adresa notebooku bude na LAN jiná než WiFi (tedy budete blokovat dvě MAC adresy). Druhak Vám to může zkomplikovat generování náhodných MAC adres pro WiFi ve Win 10 (lze zapnout). V neposlední řadě, MAC adresa na síťovkách se dá změnit a lehce blokování obejít.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: Le_Ze 09. 03. 2022, 10:15:59
Ono to je v praci.
Mikrotik je v technické mistnosti.
Od něj je UTP do kanclu, kde je routr TP-link s wifi a s vypnutým DHCP, takže IP přiděluje mikrotik.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: 5nik 09. 03. 2022, 10:58:14
Tak to máte smůlu, musel byste blokovat MAC adresu notebooku už na tom TPlinku. Na mikrotiku můžete blokovat co chcete, ale minimálně na zařízení zapojené do stejného TPlinku se z toho notebooku dostanete.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: robin martinez 09. 03. 2022, 11:29:23
pokud je tplink v modu AP, tak se to prehazuje na mikrotik a melo by stacit blokovani na nem
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: Le_Ze 09. 03. 2022, 11:41:36
IP - DHCP server.
Když nastavím počitači static, tak mám v general block access
To je na co? Jsem myslel, že to zablokuje mac, a níc.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: matusK 09. 03. 2022, 11:53:51
Jak je na tom ten tplink s vlan?

Nejspolejlivejsi by bylo uzavrit ho do samostatne vlan, kde nic jineho nebude a tim padem se nikam nedobusi.
Zalezi od tplinku, jestli to bude fungovat, hledej Mac-based vlan at vis co chces nakonfigurovat.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: robin martinez 09. 03. 2022, 11:54:10
IP adresa neni MAC adresa
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: Le_Ze 09. 03. 2022, 19:47:29
Tak už jsem to vyřešil.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: robin martinez 10. 03. 2022, 06:54:15
tak to je super.

Hlavne se s nama, prosimte, nedel o reseni, to by bylo neslusny.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: Le_Ze 10. 03. 2022, 07:53:34
Ono stači nastavit static IP a zadat IP mimo rozsah DHCP a jelikož žadný DHCP servr v tom rozsahu nemám, žadnou IP nedostane.

Nebo vytvořit dalši DHCP servr v jiném rozsahu ve kterem nejede net.
Každy kdo se připojí, dostane IP v jinem rozsahu než jsou zařizení a net vyply.
Pokud ho chcí povolit, stači mu podle MAC nastavit static IP a zadatt IP v tom funkčním subnetu.

 
Když mám seznám MAC adres všech co mužou na internet, da se někde povolit jen tyto MAC a zbytek drop? Na firewallu se da zadat jen jedna.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: 5nik 10. 03. 2022, 09:28:39
Blokování na základě IP adres je ještě naivnější než dle MAC adres. Blokace přístupu i do lokální sítě na hraničním routeru postrádá smysl (měla by smysl pouze za specifických podmínek). Změnit / nastavit IP nebo MAC na klientovi je snadné, a odradí to leda BFU. Pro řízení přístupu do lokální sítě (ať už LAN či WLAN) se používá 802.1x (raidus), nejlépe v kombinaci s VLAN, ale na to už je třeba připravená infrastruktura.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: Marek Staněk 10. 03. 2022, 12:55:15
Citace
Ono to je v praci.
Mikrotik je v technické mistnosti.
Od něj je UTP do kanclu, kde je routr TP-link s wifi a s vypnutým DHCP, takže IP přiděluje mikrotik.

No, a jak moc je nereálný mu ten TPlink nahradit mikrotikem Mikrotik RB931-2nD a na něm ho zavřít?
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: Jan Ťulák 10. 03. 2022, 16:15:15
Ono stači nastavit static IP a zadat IP mimo rozsah DHCP a jelikož žadný DHCP servr v tom rozsahu nemám, žadnou IP nedostane.

A proč prostě nevytáhneš kabel a nevypneš wifinu v tom stroji? Pokud ho máš pod takovou kontrolou, že ti na něm stačí nastavit nesmyslnou ip adresu, tak prosté odpojení udělá tuhle práci taky. A nebude to zavádět bordel do nastavení sítě.

Apropo, ověřil sis, že to tu tvoji náhodnou IP fakt nedostane? Taky je možné, že ji sice dostane, ale neexistuje gateway, přes kterou by se domluvil s něčím v jiném rozsahu. Ale pořád může být schopný komunikovat s jiným strojem, co dostane sousední nesmyslnou adresu. Já to totiž takhle doma lehce zneužívám: mám dhcp pool, který jde třeba do .64, v něm se přiřazuje dynamicky, ale pak mám nějaká zařízení se statickou adresou, která dostávají od Mikrotiku adresu končící na .100 a víc. A síť jim funguje v pořádku.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: Le_Ze 11. 03. 2022, 08:06:25
No, a jak moc je nereálný mu ten TPlink nahradit mikrotikem Mikrotik RB931-2nD a na něm ho zavřít?

Máme od providera Ubiquiti, který routuje.
Bude nám ho dávat do bridge kvůli 2 důchodcům co umí vše opravit (Pat a Mat).
Už ták mi dalo dost námahy překecat majitele na toho jednoho. Chtěl je vyhodit.


Když mám seznám MAC adres všech co mužou na internet, da se někde povolit jen tyto MAC a zbytek drop? Na firewallu se da zadat jen jedna.

Toto umí i muj stařičky asus, tak vy to mělo jít v mikrotiku, ne?
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: McFly 11. 03. 2022, 08:11:50
Když mám seznám MAC adres všech co mužou na internet, da se někde povolit jen tyto MAC a zbytek drop? Na firewallu se da zadat jen jedna.

Jedno pravidlo, jedna MAC. Deset pravidel, deset MAC. ;-)
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: Le_Ze 11. 03. 2022, 13:52:26
Hm. tak to ještě nemaj vychytane  >:(
Dik.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: 5nik 11. 03. 2022, 14:56:55
Hm. tak to ještě nemaj vychytane  >:(
Dik.
Bohužel MAC address listy byly u Mikrotiku už několikrát požadovány ale zatím bez odezvy.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: Mio_CZ 20. 03. 2022, 23:47:56
MAC adresa je v nizsi vrstve, listovat je v IP firewallu nema smysl, respektive je to špatné řešení.

Pristup zarizeni pres povolene MAC se resi pomoci ARP.

Na portu/bridge pro LAN se nastaví Reply only/Disabled a "povolené" MAC adresy se přidají do /ip arp

Pokud za Mikrotikem neni zarizeni s vlastni ARP tabulkou, neuvidi se neuvedena zarizeni ani mezi sebou a to ani v případě správně nastavené statické IP.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: ja. 21. 03. 2022, 00:52:40
MAC adresa je v nizsi vrstve, listovat je v IP firewallu nema smysl, respektive je to špatné řešení.

Pristup zarizeni pres povolene MAC se resi pomoci ARP.

Na portu/bridge pro LAN se nastaví Reply only/Disabled a "povolené" MAC adresy se přidají do /ip arp

Pokud za Mikrotikem neni zarizeni s vlastni ARP tabulkou, neuvidi se neuvedena zarizeni ani mezi sebou a to ani v případě správně nastavené statické IP.

Ono sa to ešte na prvej stránke spomenulo, že tu diskutujú o /interface/bridge/filter, nie o /ip/firewall, takže sú na Layer 2.
Název: Re:MikroTik - zablokování přes MAC adresu
Přispěvatel: 5nik 21. 03. 2022, 12:36:06
Pristup zarizeni pres povolene MAC se resi pomoci ARP.

Na portu/bridge pro LAN se nastaví Reply only/Disabled a "povolené" MAC adresy se přidají do /ip arp

Pokud za Mikrotikem neni zarizeni s vlastni ARP tabulkou, neuvidi se neuvedena zarizeni ani mezi sebou a to ani v případě správně nastavené statické IP.

Tímhle ale omezíte přístup zařízení do a skrz mikrotik, nikoliv komunikaci mezi zařízeními v lokální síti. Tazatel píše, že za mikrotikem má ještě tplink, takže komunikace v interní síti může jít i jen přes tplink a mikrotik obejít. Nehledě na to, že /ip arp nemá na provoz v rámci bridge v mikrotiku vliv.