MikroTik - zablokování MAC

MikroTik - zablokování MAC
« kdy: 14. 11. 2023, 06:51:26 »
Zdar.
Nějak mně nemá rad a neposlouchá.
DHCP servr - leases a vidím ip a mac zařizeni.

Firewall Rules - přidat.
V General mám chain forward.
V Advanced - Src MAC address je blokovaná mac adresa
V Action je drop

Zařízeni je furt připojené.
Co zas dělám špatně?
Jsem zkusil toto pravidlo přesunout uplně nahoru a nepomohlo.
Děkují
« Poslední změna: 14. 11. 2023, 08:34:33 od Petr Krčmář »


Re:Mikrotik - zablokovaní mac
« Odpověď #1 kdy: 14. 11. 2023, 07:03:10 »
Iba hádam ale tipujem že problém je "chain forward"

iko

  • ***
  • 148
    • Zobrazit profil
    • E-mail
Re:Mikrotik - zablokovaní mac
« Odpověď #2 kdy: 14. 11. 2023, 07:54:56 »
vypni fasttrack connection vo firewalle

Re:Mikrotik - zablokovaní mac
« Odpověď #3 kdy: 14. 11. 2023, 08:02:06 »
v dhcp leasu je block access

Re:MikroTik - zablokování MAC
« Odpověď #4 kdy: 14. 11. 2023, 09:46:24 »
Čeho se snažíš dosáhnout?

DHCP server přiděluje IP adresy, když zařízení adresu nedostane, pořád ji může mít nastavenou staticky.
Nebo chceš zahazovat veškerou komunikaci pro dané zařízení? A co když si zařízení MAC změní?


Jose D

  • *****
  • 888
    • Zobrazit profil
Re:MikroTik - zablokování MAC
« Odpověď #5 kdy: 14. 11. 2023, 10:24:51 »
jak připojené..? Pokud je připojené k mikrotiku samotnému, tak to chce ještě pořešit chain input.
Do jaké tabulky jsi to dal?
Tohle by mělo být někde hoodně brzo - mangle, prerouting??
Jde o nějaký wireless, nebo drátoethernet?

Jose D

  • *****
  • 888
    • Zobrazit profil
Re:MikroTik - zablokování MAC
« Odpověď #6 kdy: 14. 11. 2023, 10:28:31 »
--

robac

  • ***
  • 202
    • Zobrazit profil
    • E-mail
Re:MikroTik - zablokování MAC
« Odpověď #7 kdy: 14. 11. 2023, 10:44:49 »
Pokud chcete zarizeni zabranit v pripojeni k siti (?), tak k tomu je 802.1x. Pripadne (na WiFi) vyzkouset ten Block access nebo pouzit L2 filter. Nastavovat to na L3+ firewallu nedava valneho smyslu...

Re:MikroTik - zablokování MAC
« Odpověď #8 kdy: 14. 11. 2023, 15:52:04 »
Děkují moc.
Ted jsem přišel domu a notas tam už není, tak to asi funguje. Uvidíme zítra.
Máme v prací důchodce, který chodí i na noční a sosa filmy a tak nám zpomaluje internet a sekají se kamery.
I když jsem už několikrát změnil heslo wifi, vždy mu ho někdo řekne.

Jinak notas je připojený k TP-linku přes wifi. Ale TP-link je jako bridge, takže IP rozdává mikrotik.

Re:MikroTik - zablokování MAC
« Odpověď #9 kdy: 20. 11. 2023, 00:30:47 »
Já aplikuji
Citace
-A FORWARD -m mac --mac-source 09:...E:2F:D3 -j REJECT --reject-with icmp-port-unreachable
A funguje to

Je ale nutno si uvědomit co to dělá: jelikož to neni na L3 switchi ale je na. Bráně,tak prakticky to blokuje ven., dns,dhcp

Re:MikroTik - zablokování MAC
« Odpověď #10 kdy: 20. 11. 2023, 06:18:35 »
Tak dejte par dobrých přikladu jak nejlepe na to.
Rad se naučim něco noveho.
Tady na foru jsem našel info, že vytvořit dalši subnet, bez internetu a v leases přiřadit k mac adrese ip, v tomto subnetu.

McFly

  • *****
  • 588
    • Zobrazit profil
    • E-mail
Re:MikroTik - zablokování MAC
« Odpověď #11 kdy: 20. 11. 2023, 15:22:59 »
Ještě mne napadá zablokovat přístup přes wifi přes ten TP-Link, ale to by musel umět. Nějaký ten access/block list nebo tak něco. Taky podle MAC. Chtělo by to prozkoumat. A nebo bych pánovi dal statickou IP podle MAC a na Mikrotiku nastavil simple queue, aby mu to jelo třeba 64kbps... :-)

ja.

  • ****
  • 334
    • Zobrazit profil
    • E-mail
Re:MikroTik - zablokování MAC
« Odpověď #12 kdy: 20. 11. 2023, 15:29:46 »
Pokial by som nechcel, aby sa vobec pripojil na wifi, dat do access listu jeho mac a action=reject.

Edit: toto by fungovalo, bude len ak mikrotik riadi wifi, nie tplink.

Pokial mi je to jedno, tak nastavit kid-control na jeho zariadenie (podla mac adresy| a bud mu zakazat uplne traffic na internet, alebo nastavit nejaku nizku hranicu. Da sa aj nacasovat, kedy ano, kedy nie.

Edit: toto funguje, aj ked je tplink bridguje wifi. V podstate su to dynamicke pravidla do firewallu so src-mac.
« Poslední změna: 20. 11. 2023, 15:31:51 od ja. »