MikroTik - zablokování přes MAC adresu

Zopper

  • *****
  • 657
    • Zobrazit profil
Re:MikroTik - zablokování přes MAC adresu
« Odpověď #15 kdy: 10. 03. 2022, 16:15:15 »
Ono stači nastavit static IP a zadat IP mimo rozsah DHCP a jelikož žadný DHCP servr v tom rozsahu nemám, žadnou IP nedostane.

A proč prostě nevytáhneš kabel a nevypneš wifinu v tom stroji? Pokud ho máš pod takovou kontrolou, že ti na něm stačí nastavit nesmyslnou ip adresu, tak prosté odpojení udělá tuhle práci taky. A nebude to zavádět bordel do nastavení sítě.

Apropo, ověřil sis, že to tu tvoji náhodnou IP fakt nedostane? Taky je možné, že ji sice dostane, ale neexistuje gateway, přes kterou by se domluvil s něčím v jiném rozsahu. Ale pořád může být schopný komunikovat s jiným strojem, co dostane sousední nesmyslnou adresu. Já to totiž takhle doma lehce zneužívám: mám dhcp pool, který jde třeba do .64, v něm se přiřazuje dynamicky, ale pak mám nějaká zařízení se statickou adresou, která dostávají od Mikrotiku adresu končící na .100 a víc. A síť jim funguje v pořádku.


Le_Ze

  • ***
  • 113
    • Zobrazit profil
    • E-mail
Re:MikroTik - zablokování přes MAC adresu
« Odpověď #16 kdy: 11. 03. 2022, 08:06:25 »
No, a jak moc je nereálný mu ten TPlink nahradit mikrotikem Mikrotik RB931-2nD a na něm ho zavřít?

Máme od providera Ubiquiti, který routuje.
Bude nám ho dávat do bridge kvůli 2 důchodcům co umí vše opravit (Pat a Mat).
Už ták mi dalo dost námahy překecat majitele na toho jednoho. Chtěl je vyhodit.


Když mám seznám MAC adres všech co mužou na internet, da se někde povolit jen tyto MAC a zbytek drop? Na firewallu se da zadat jen jedna.

Toto umí i muj stařičky asus, tak vy to mělo jít v mikrotiku, ne?

McFly

  • *****
  • 560
    • Zobrazit profil
    • E-mail
Re:MikroTik - zablokování přes MAC adresu
« Odpověď #17 kdy: 11. 03. 2022, 08:11:50 »
Když mám seznám MAC adres všech co mužou na internet, da se někde povolit jen tyto MAC a zbytek drop? Na firewallu se da zadat jen jedna.

Jedno pravidlo, jedna MAC. Deset pravidel, deset MAC. ;-)

Le_Ze

  • ***
  • 113
    • Zobrazit profil
    • E-mail
Re:MikroTik - zablokování přes MAC adresu
« Odpověď #18 kdy: 11. 03. 2022, 13:52:26 »
Hm. tak to ještě nemaj vychytane  >:(
Dik.

5nik

  • ***
  • 133
    • Zobrazit profil
    • E-mail
Re:MikroTik - zablokování přes MAC adresu
« Odpověď #19 kdy: 11. 03. 2022, 14:56:55 »
Hm. tak to ještě nemaj vychytane  >:(
Dik.
Bohužel MAC address listy byly u Mikrotiku už několikrát požadovány ale zatím bez odezvy.


Re:MikroTik - zablokování přes MAC adresu
« Odpověď #20 kdy: 20. 03. 2022, 23:47:56 »
MAC adresa je v nizsi vrstve, listovat je v IP firewallu nema smysl, respektive je to špatné řešení.

Pristup zarizeni pres povolene MAC se resi pomoci ARP.

Na portu/bridge pro LAN se nastaví Reply only/Disabled a "povolené" MAC adresy se přidají do /ip arp

Pokud za Mikrotikem neni zarizeni s vlastni ARP tabulkou, neuvidi se neuvedena zarizeni ani mezi sebou a to ani v případě správně nastavené statické IP.

ja.

  • ****
  • 316
    • Zobrazit profil
    • E-mail
Re:MikroTik - zablokování přes MAC adresu
« Odpověď #21 kdy: 21. 03. 2022, 00:52:40 »
MAC adresa je v nizsi vrstve, listovat je v IP firewallu nema smysl, respektive je to špatné řešení.

Pristup zarizeni pres povolene MAC se resi pomoci ARP.

Na portu/bridge pro LAN se nastaví Reply only/Disabled a "povolené" MAC adresy se přidají do /ip arp

Pokud za Mikrotikem neni zarizeni s vlastni ARP tabulkou, neuvidi se neuvedena zarizeni ani mezi sebou a to ani v případě správně nastavené statické IP.

Ono sa to ešte na prvej stránke spomenulo, že tu diskutujú o /interface/bridge/filter, nie o /ip/firewall, takže sú na Layer 2.

5nik

  • ***
  • 133
    • Zobrazit profil
    • E-mail
Re:MikroTik - zablokování přes MAC adresu
« Odpověď #22 kdy: 21. 03. 2022, 12:36:06 »
Pristup zarizeni pres povolene MAC se resi pomoci ARP.

Na portu/bridge pro LAN se nastaví Reply only/Disabled a "povolené" MAC adresy se přidají do /ip arp

Pokud za Mikrotikem neni zarizeni s vlastni ARP tabulkou, neuvidi se neuvedena zarizeni ani mezi sebou a to ani v případě správně nastavené statické IP.

Tímhle ale omezíte přístup zařízení do a skrz mikrotik, nikoliv komunikaci mezi zařízeními v lokální síti. Tazatel píše, že za mikrotikem má ještě tplink, takže komunikace v interní síti může jít i jen přes tplink a mikrotik obejít. Nehledě na to, že /ip arp nemá na provoz v rámci bridge v mikrotiku vliv.