Страница 1 из 1

Блокировка тех, кто ввёл IP вручную...

Добавлено: 13 мар 2014, 16:07
Dragon_Knight
Давным давно была тема, как можно заблокировать тех, кто ввёл IP вручную, а не получил его по DHCP, были примеры со громоздкими скриптами, но я для себя нашёл более рациональное решение.
Данное решение помимо того что блокирует всех кто ввёл IP руками, так ещё и даёт контроль доступа в интернет.

Итак, создаёт 2 правила в фаерволе:

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward comment="Drop !DHCP-Lease" in-interface=LAN-BRIDGE src-address-list=!DHCP-Lease
add action=drop chain=forward comment="Drop !DHCP-Lease" dst-address-list=!DHCP-Lease in-interface=WAN-PPPoE

Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.

Реализация не идеальная, но в 95% случаев со своей задачей справляется.
Удачи.

Re: Блокировка тех, кто ввёл IP вручную...

Добавлено: 13 мар 2014, 19:53
vqd
В DHCP-server есть вот такая замечательная штука
lease-script (string; Default: ) Script that will be executed after lease is assigned or deassigned. Internal "global" variables that can be used in the script: leaseBound - set to "1" if bound, otherwise set to "0"
leaseServerName - dhcp server name
leaseActMAC - active mac address
leaseActIP - active IP address



Правда сколько раз я с ней пытался разобраться так ничего и не вышло. Хотя делал четко по описанию из мануала

Re: Блокировка тех, кто ввёл IP вручную...

Добавлено: 05 сен 2014, 23:51
Lord3D
Так ведь для этого существует режим ARP Reply-Only с добавлением DHCP-лизов в ARP-таблицу. По-моему, так проще и логичнее.

Re: Блокировка тех, кто ввёл IP вручную...

Добавлено: 24 июл 2015, 22:38
23q
Lord3D писал(а):Так ведь для этого существует режим ARP Reply-Only с добавлением DHCP-лизов в ARP-таблицу. По-моему, так проще и логичнее.

в таком режиме клиент получает ip по dhcp и маршрутизатор не может смаршрутизировать его пока связка mac+ip не будет добавлена в arp вручную. а если поставить в свойствах сервера add arp for lesses он будет добавлять даже если стоит режим ARP Reply-Only?

Re: Блокировка тех, кто ввёл IP вручную...

Добавлено: 25 июл 2015, 10:40
vqd
23q писал(а): а если поставить в свойствах сервера add arp for lesses он будет добавлять даже если стоит режим ARP Reply-Only?


да

Re: Блокировка тех, кто ввёл IP вручную...

Добавлено: 16 фев 2018, 11:54
maksim.kurilchenko
Dragon_Knight писал(а): 13 мар 2014, 16:07
Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.
Помогите пожалуйста, как быть в случае если адреса раздает сторонний DHCP в локальной сети, как сделать так чтобы Микротик пропускал по HTTP/HTTPS (протоколы не суть) только статические адреса по ARP таблице, которые закрепляются вручную?

Re: Блокировка тех, кто ввёл IP вручную...

Добавлено: 16 фев 2018, 23:03
enzain
maksim.kurilchenko писал(а): 16 фев 2018, 11:54
Dragon_Knight писал(а): 13 мар 2014, 16:07
Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.
Помогите пожалуйста, как быть в случае если адреса раздает сторонний DHCP в локальной сети, как сделать так чтобы Микротик пропускал по HTTP/HTTPS (протоколы не суть) только статические адреса по ARP таблице, которые закрепляются вручную?
Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.

На интерфейсе смотрящем в сеть - режим арта поставить replay only

Re: Блокировка тех, кто ввёл IP вручную...

Добавлено: 19 фев 2018, 07:05
maksim.kurilchenko
enzain писал(а): 16 фев 2018, 23:03

Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.
Не, мне надо только тем, за которыми статика закреплена.

Re: Блокировка тех, кто ввёл IP вручную...

Добавлено: 19 фев 2018, 09:19
enzain
maksim.kurilchenko писал(а): 19 фев 2018, 07:05
enzain писал(а): 16 фев 2018, 23:03

Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.
Не, мне надо только тем, за которыми статика закреплена.
Ну значит только их и добавляйте в арп таблицу.