Svazani MAC s IP.

soucez

Doporučuji firewallové pravidlo. Pro 2.9.6

add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no

Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek

dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.

add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no

Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).

daly by se tyhle pravidla generovat nejakym scriptem z "ip > DHCP server > leases" ??a pokud by se k tomu zaznamu pridal nejaky popisek script by to rozpoznal a nevytvoril pravidlo ?(prechazim na MK , uz jsem zapsal vsechny IP a MAC a nerad bych to tam datloval znova. ten popisek kuli lidem kteri jsou na siti ale nechteji net)

Hned na začátek firewallu jsem si dal seznam IP adres + MAC a jako action Accept. Na konec tohoto seznamu jsem si dal obecné 192.168.250.0/24 DROP a před toto ještě LOG. Ale když za tím mám ještě pravidlo které mi sleduje aktivitu klientů podle IP a dává je do Adress listu jako "aktivní klient" na 2 minuty. Taky to sleduje 192.168.250.0/24.

Jenže toto mi nefunguje a zároveň i vkládání adress listu že daná IP používí p2p. Jak to accept pravidlo které porovnává IP a MAC fachčí? To pak přeskakuje ve firewallu až někam dál za pravidla které mám bezprostředně pod tím seznamem Acceptů IP+MAC?

matik

Pekny vecer mel bych jeden dotaz. Mam nastaveny mikrotik 2.9.17 ale mam polovicku rozsahu adres tedy treba 192.168.20.1/25 a chtel bych ve firewallu dat jenom nejaky seznam adres ktery bude prochazet ven na internet. Pokousel jsem se to pomoci Address listu ale nejak se nedari. Mohl by sem nekdo dat jak by se to udelo? nepotrebuj zatím hlídat mac adresy jelikoz kazdy ma urcenou adresu natvrdo. Diky.

chalan

mam ip/mac filter nastaveny takto

0 ;;; ap-2mo

chain=forward src-address=192.168.111.11

src-mac-address=00 action=accept

30 ;;; logovanie neplatnych mac/ip

chain=forward src-address=192.168.111.0/24 action=log log-prefix=""

31 ;;; zakazeme vsetko ostatne

chain=forward src-address=192.168.111.0/24 action=drop

ale mam tam viac subnetov ako prosim zakazem jednym prikazom uplne vsetko a povolene budu len ip uvedene nad tym pravidlom zviazane s mac adresami, DAKUJEM

PS: skusal som miesto 192.168.111.0/24 dat 0.0.0.0/24 ale to nefunguje...

greezmen

chain=forward action=drop :

level

mam ip/mac filter nastaveny takto

0 ;;; ap-2mo

chain=forward src-address=192.168.111.11

src-mac-address=00 action=accept

30 ;;; logovanie neplatnych mac/ip

chain=forward src-address=192.168.111.0/24 action=log log-prefix=""

31 ;;; zakazeme vsetko ostatne

chain=forward src-address=192.168.111.0/24 action=drop

ale mam tam viac subnetov ako prosim zakazem jednym prikazom uplne vsetko a povolene budu len ip uvedene nad tym pravidlom zviazane s mac adresami, DAKUJEM

PS: skusal som miesto 192.168.111.0/24 dat 0.0.0.0/24 ale to nefunguje...

dej tam treba 192.168.64.0/18 nebo klidne i vetsi rozsah jak budes potrebovat

vaclavkovar

Doporučuji firewallové pravidlo. Pro 2.9.6

add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no

Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek

dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.

add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no

Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).

Dovede prosím někdo poradit zda (a jak) je tento postup možný v případě, že jsou v MK dvě síovky konfigurovány jako Bridge, třetí NAT.

Bohužel mi u všech překládaných adres používá stejnou MAC z Bridge. Vypnu-li Bridge, jede vše OK.

alexanderi

chcem sa spytat ako nastavit ochranu MAC + IP na Routerboard 112, ale nie cez prikazy ale normalne v grafickom prostredi mikrotiku? Sa to robi niekde vo Ip - firewall . prosim piste ked nieco o tom viete, dik.

millo16

mozem sa spytat?: nahadzol som si to podla tohoto prikladu:

- useri maju IP cez DHCP, pricom na MT je to na tvrdo podla MAC adresy,

- pravidlo vo firewalle je nahodene, IP a MAC je spravna napriek tomu niektorych pusti a niektorych nie :(

leeonek

mozem sa spytat?: nahadzol som si to podla tohoto prikladu:

- useri maju IP cez DHCP, pricom na MT je to na tvrdo podla MAC adresy,

- pravidlo vo firewalle je nahodene, IP a MAC je spravna napriek tomu niektorych pusti a niektorych nie :(

Ověř si v ARP listu pod jakou MAC opravdu přistupují. Pokud ji tam zadáš musí to chodit, pokud ne, prohlédni to ještě jednou protože někde je určitě chyba

millo16

ako zvycajne, medzi stolickou a klavesnicou :) vdaka bol to blby preklep

millo16

mam ip/mac filter nastaveny takto

ale mam tam viac subnetov ako prosim zakazem jednym prikazom uplne vsetko a povolene budu len ip uvedene nad tym pravidlom zviazane s mac adresami, DAKUJEM

PS: skusal som miesto 192.168.111.0/24 dat 0.0.0.0/24 ale to nefunguje...

no to 0.0.0.0/24 by som tam nedaval, ale vzhlaodm na to, ze pouzivas IP 192.168.x.x tak tam daj 192.168.0.0/16 to mas bloknute vsetko

matos

Doporučuji firewallové pravidlo. Pro 2.9.6

add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no

Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek

dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.

add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no

Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).

vedel by mi neikto povedat ako to mam nastavit? mam taku topologiu

problem je vtom ze ak spravim taketo pravidlo nalavo hore, tak to nefunguje pre subnet 192.168.0.x jedine ak by som to spravil na MK napravo hore

skc

Doporučuji firewallové pravidlo. Pro 2.9.6

add chain="forward" src-address=192.168.2.x/32 src-mac-address=00:00:00:00:00:00 action=accept comment="Jmeno uživatele" disabled=no

Tak zadáš každého uživatele a nakonec nesmíš zapomenout ten zbytek

dropovat (stačí jedno pravidlo ale musí být na celý použitý subnet). Toto pravidlo musí být poslední, jednotlivá povolená IP nad ním.

add chain="forward" src-address=192.168.2.0/24 action=drop comment="Stop ostatni nezadane adresy" disabled=no

Pokud chceš vědět kdo si změnil adresu, stačí poslední drop zadat znovu akorát action dej log a v logu se ti objeví mac adresa klienta který má nepříslušné IP. (Pozor log musí být taktéž nad dropem).

Asi jsem lama, ale pokud to udelam takhle, tak mi nic neproleze. :( Jde mi o to, abych nemel v siti cerny uzivatele a aby si nemohli menit IP na nekoho jinyho.

chain=forward action=accept src-address=192.168.2.102

src-mac-address=00:1D:D9:21:30:47

chain=forward action=accept src-address=192.168.2.16

src-mac-address=00:0E:2E:C2:EC:D2

chain=forward action=accept src-address=192.168.2.17

src-mac-address=00:4F:62:05:68:8B

3 chain=forward action=accept src-address=192.168.2.101

src-mac-address=00:4F:62:05:68:8B

chain=forward action=accept src-address=192.168.2.20

src-mac-address=00:4F:62:05:68:8B

5 chain=forward action=accept src-address=192.168.2.101

src-mac-address=00:4F:62:05:68:8B

chain=forward action=accept src-address=192.168.2.18

src-mac-address=00:0E:2E:C2:A3:74

chain=forward action=accept src-address=192.168.2.19

src-mac-address=00:0E:2E:C2:EC:63 content=""

8 chain=forward action=accept src-address=192.168.2.104

src-mac-address=00:0E:2E:C2:EC:63

9 ;;; Test AP

chain=forward action=accept src-address=192.168.2.166

src-mac-address=00:0E:2E:D9:D9:3F

10 chain=forward action=accept src-address=192.168.2.107

src-mac-address=00:0E:2E:D9:D9:3F

11 ;;; Logovani adres

chain=forward action=log src-address=192.168.2.0/24

log-prefix="Nepovolena adresa"

12 ;;; Ostatni nepovolene adresy

chain=forward action=drop src-address=192.168.2.0/24

mac adresy jsou klientovy AP, ktery nepropoustej mac sitovky. Muzete me nejak nakopnout co s tim ? Diky.

ef

Pokud ti to neprojde tak se ti něco loguje a zlogu vyčteš proč, Jestli se tam nic neloguje tak máš problém jinde. pošli demo na SZ se ti na to můžu mrknout

skc

Pokud ti to neprojde tak se ti něco loguje a zlogu vyčteš proč, Jestli se tam nic neloguje tak máš problém jinde. pošli demo na SZ se ti na to můžu mrknout

Tak uz jsem na to prisel ... klasicka chyba mezi zidli a klavesnici. :

Ale stejne "ef" diky za ochotu :

« Předchozí stránka