Ahoj, prosím zkušenější o radu. Mikrotik jako domácí router, tedy eth1 je WAN, ostatní porty jsou v bridge. Lze v bridge definovat seznam "povolených" MAC adres, zakázat automatické učení MAC adres a nastavit bridge tak, aby se tím zamezilo komunikaci jiným zařízením, které se pak připojí do volného portu?
Edit: možná jsem na to šel celou dobu špatně. Aktuálně si hraji s "filters" a vypadá to nadějně.

    Zapneš vlastnost arp-reply-only. Pak se neučí :-) Ale musíš si to buď udržovat staticky, nebo pomocí dhcp serveru (tam lze zapnout add-arp-for-leases, nebo tak nějak).
    To jde na každém rozhraní.

    Filter použít můžeš samozřejmě také. Ale na většině RB přijdeš o HW-offload. Tedy vše půjde přes CPU a switch čip tam bude tak nějak k ničemu.

    Děkuji za odpověď.
    Tyhle hrátky s ARP jsem kdysi úspěšně používal v jedné firmě kvůli pravidlům v QT a na to, na co jsem tehdy cílil to fungovalo.
    Nicméně nejsou ta pravidla na základu zdrojových MAC adres ve filtru na bridge ještě účinnější metoda? S absencí HW offloadingu samozřejmě počítám i když je mi pocitově líto 50% CPU proti 1-2% (vyzkoušeno při 1Gbit přenosu mezi ntb a NAS).

    rosak
    /interface ethernet switch rule - filtruje priamo switch chip bez toho aby zatazovalo procesor a HW-offload bude fungovat.

        coitus
        Díky, hned se na to dívám, v ROS je to přímo podmenu ve Switch. Ale nevidím tam možnost, jak bych tam mohl nasypat třeba deset MAC adres, které mohou volně komunikovat a strom uzavřel pravidlem, které zakáže komunikaci všem nevyjmenovaným MAC adresám.

          Asi takto:
          https://help.mikrotik.com/docs/spaces/ROS/pages/328068/Bridging+and+Switching

          Changes the destination port to the specified value:
          If the setting is left empty (e.g. new-dst-ports=""), the packet will be dropped;
          If a port or hardware-offloaded bonding interface is specified, the packet will be redirected to that port. Only single port or bond interface is supported;
          if you use the all argument, packet will be allowed to pass through to the egress processing without being dropped;
          If this parameter is not used, the packet will be accepted as is.

          pravidlo allow mac address:
          /interface ethernet switch rule add comment="allow" src-mac-address=D4:CA:6D:00:01:02/FF:FF:FF:FF:FF:FF ports=ether1 switch=switch1
          pravidlo drop vsetko na porte:
          /interface ethernet switch rule add comment="drop" new-dst-ports="" ports=ether1 switch=switch1

          Neviem aky HW pouzivas ale musi to samozrejme podporovat aj switch chip v tvojom RB:
          https://help.mikrotik.com/docs/spaces/ROS/pages/15302988/Switch+Chip+Features

            coitus
            Děkuji za odkaz i nástřel. Vyzkouším to a dám vědět.

            Doplním, že to aktuálně potřebuji řešit na RB951G-2HnD a RB962UiGS-5HacT2HnT, kde by to neměl být problém. Ale zatím jsem na to nenašel čas :-(

              o 13 dní později

              Ještě jednou děkuji za nasměrování, ale mě to nedovolí jakékoli pravidlo zapsat. Že prý "not supported for this switch" :-(
              Ještě někdo nějaký nápad, prosím?

              o 7 dní později

              Pánové, moje chyba. Nedostatečně jsem se věnoval čtení dokumentace a testoval to na stole na RB951Ui-2HnD. Jakmile jsem si v dokumentaci všiml přehlédnuté informace o rozdílném modelu switch čipu a to samé zkusil na RB962UiGS-5HacT2HnT, vše požadované funguje. Jakmile se mi podařilo vytvořit pravidlo na switchi (díky Coitus👍), zkusil jsem si i požadované vypnutí učení MAC adres na konkrétním portu pod bridge a i tohle na RB962UiGS-5HacT2HnT funguje. V RB951Ui-2HnD tohle sice naklikat šlo, ale nijak se to neprojevovalo.

              📡 Telekomunikace.cz