MikroTik načítá IP přes DHCP, i když je veškerá komunikace zahazovaná

creco

Mám default-ní konfiguraci Mikrotiku. Na WANu (ether1) zakážu veškerý INPUT, OUTPUT, FORWARD a přesto si Mikrotik na WANu načítá konfiguraci IP přes DHCP. Dokáže mi někdo vysvětlit toto chování když je všechno blokované?

/ip firewall filter add action=drop chain=input in-interface=ether1
/ip firewall filter add action=drop chain=forward in-interface=ether1
/ip firewall filter add action=drop chain=output out-interface=ether1

Ano, šlo by vypnout DHCP klienta na Mikrotiku ale jde tu o princip jak je možné že se ta IP adresa z DHCP serveru vůbec načte.  >:( >:( >:(
« Poslední změna: 30. 01. 2020, 14:38:56 od Petr Krčmář »


faha

  • *
  • 31
  • František Havel
    • Zobrazit profil
    • František Havel
    • E-mail

creco

A jak to blokovat na Mikrotiku?

robac

  • ***
  • 118
    • Zobrazit profil
    • E-mail
A jak to blokovat na Mikrotiku?
Vypněte DHCP klienta na WAN rozhraní. IP - DHCP client...

creco

A jak to blokovat na Mikrotiku?
Vypněte DHCP klienta na WAN rozhraní. IP - DHCP client...

Mě jde o to jak to blokovat firewallem


M_D

  • ***
  • 147
    • Zobrazit profil
    • E-mail
DHCP klient (stejně i server, VRRP a pár dalších) pracuje přímo s raw L2 socketem, takže ho neovlivní L3 firewall.
Jde blokovat pomocí L2 firewallu v /interface bridge filter nebo (pokud to není historický ROS) asi i v /ip firewall raw.

creco

Super! A nějaká ukázka konfigurace jak toho docílit?

Tohle by mělo zabrat.
Kód: [Vybrat]
/interface bridge filter add action=drop chain=input in-interface=ether1 ip-protocol=udp src-port=67-68
Alternativně pomůže přidat na ten interface DHCP server s poolem static-only a authoritative=yes, záleží čeho přesně chceš docílit
« Poslední změna: 30. 01. 2020, 17:00:23 od jeniceek »

creco

Děkuju. Snažím se docílit toho jak se takové případy konfigurují.

Bohužel příkaz nefunguje:
failure: ip matchers valid only for ip or ipv6 ethernet protocol

robac

  • ***
  • 118
    • Zobrazit profil
    • E-mail
Mě jde o to jak to blokovat firewallem

Přemýšlím, jestli víte, jak funguje DHCP, když Vás nejvíce zajímá, jak blokovat přidělování adresy, o kterou si ten Mikrotik sám žádá...

M_D

  • ***
  • 147
    • Zobrazit profil
    • E-mail
/interface bridge filter
add action=drop chain=input dst-port=67-68 in-interface=ether1 ip-protocol=udp mac-protocol=ip