wlan blacklist

Обсуждение ПО и его настройки
Ответить
kky
Сообщения: 12
Зарегистрирован: 20 июн 2013, 01:57

Как заболкировать вайфай устройство по мак адресу, если оно авторизовано в б. сети?
Например в wireless tables во вкладке Registration, появилось стороннее устройство, которому по dhcp выдан внутренний адрес, и виден его мак. Есть функция remove, чтобы отключить устройство, можно добавить в аксесс\коннект лист.


kky
Сообщения: 12
Зарегистрирован: 20 июн 2013, 01:57

Нашел такую штуку.
If we modify ACL rules in previous example to:

/interface wireless access-list
add interface=wlan2 signal-range=-55
add authentication=no forwarding=no interface=wlan2 signal-range=..-56

Then if signal drops to -56, client will be disconnected.


То есть можно клиентов дропать если уровень сигнала вне диапозона? Кто знает, это работает?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Простейший способ блокировки по MAC вот
/ip dhcp-server add action=drop chain=forward src-mac-address=00:1C:26:4F:13:53

Но есть недостатки:
клиенты все же может получить адрес от DHCP, клиент фактически подключается к WiFi.

Заблокировать доступ к DHCP можно так
/ip dhcp-server add always-broadcast=yes block-access=yes mac-address=00:05:2D:30:4F:97

Обязать их использовать DHCP можно так
viewtopic.php?f=1&t=1403&hilit=%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F+DHCP


kky
Сообщения: 12
Зарегистрирован: 20 июн 2013, 01:57

Простейший способ блокировки по MAC вот
/ip dhcp-server add action=drop chain=forward src-mac-address=00:1C:26:4F:13:53

это правило точно для дхцп-с?


kky
Сообщения: 12
Зарегистрирован: 20 июн 2013, 01:57

Да и самый простой способ как дропать авторизованных клиентов по вайфай это добавить в аксесс лист и снять галочки authentication и forwarding. Потом ремув по маку из registration и данный клиент начинает циклично переподключаться и тут же дропаться.


kky
Сообщения: 12
Зарегистрирован: 20 июн 2013, 01:57

Странно, у меня оба правила не работают.

Код: Выделить всё

[root@MikroTik] > /ip dhcp-server add chain=forward action=drop src-mac-address=
00:1C:26:4F:13:53             
expected end of command (line 1 column 21)
[root@MikroTik] > /ip dhcp-server add always-broadcast=yes block-access=yes mac-address=00:1C:26:4F:13:53                                             
expected end of command (line 1 column 42)

Как я понимаю первое правило для фаервола? Второе для dhcp-server lease?
Последний раз редактировалось kky 30 июн 2013, 02:00, всего редактировалось 1 раз.


kky
Сообщения: 12
Зарегистрирован: 20 июн 2013, 01:57

Сделал:
gmx писал(а):Я кое-что нашел и вроде бы даже работает:

1. В окне настройки DHCP сервера необходимо выбрать пункт Add ARP For Leases.
2. Открываем окно настроек интерфейса на котором висит наш DHCP сервер и проверяем поле ARP. Его значение должно быть reply-only.


Добавил:
/ip dhcp-server lease add block-access=yes mac-address=00:1C:26:4F:13:53 server=dhcp1
если несколько dhcp-серверов, можно не дописывать server="ваш dhcp-server", тогда автоматически добавится server=all.
В итоге устройство с заданным мак-адресом не смогло подключиться ни по dhcp, ни по static.
Насколько верен данный способ? И для чего дописывать always-broadcast=yes?


Elk
Сообщения: 22
Зарегистрирован: 09 окт 2012, 11:24

Делаю так как написано выше, копирую его в access list и ставлю ему минимальное ограничение по скорости, либо как писалось выше дистанцию ноль :) сотрудник вроди подключается, но сразу отваливается, либо делаю блок в dhcp сервере, либо и там и там )
А лучше сделать радиус авторизацию по маку и пускать только тех кто тебе там нужен.


Ответить