ограничение работы по времени на порту
-
mol
- Сообщения: 5
- Зарегистрирован: 26 апр 2020, 13:55
Есть микротик rb941-2nd нужно на одном из портов настроить ограничение работы по времени в определенные дни недели а если нет то просто в определенное время , интернет вкл/выкл. Либо сделать ограничение для пользователей в связке IP+MAC фильтрация просто по мак не проходит в виду того что клиент его меняет рандомно.
Последний раз редактировалось mol 26 апр 2020, 20:29, всего редактировалось 1 раз.
-
rtfm
- Сообщения: 54
- Зарегистрирован: 24 апр 2020, 14:02
Добрый день.
А кто мешает отключить по маку сам порт? Ведь каждый порт имеет свой мак.
А кто мешает отключить по маку сам порт? Ведь каждый порт имеет свой мак.
-
mol
- Сообщения: 5
- Зарегистрирован: 26 апр 2020, 13:55
По Ip и так ограничиваю но скачки со стороны клиента MAC адреса заставляет DHCP серверу выдавать привязанные но в данный момент не активный адреса действующих клиентов. Думаю каждый задумаеться столкнувшийся с хитросделанным клиентом который меняет овер 300 раз свой мак в течении 12 часов.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Задача поставлена слишком размыто:
то клиента отсекать или порт, а клиент не против что Вы будете резко так его "отключать"
Пока такие мысли (с учётом того что Вы уже ответили) у меня пришли:
(можно их ещё перемешать с другими нюансами)
1) выделить порт-клиента в отдельный бридж и с отдельной сетью (скажем сеть 192.168.13.0/24)
2) на бридж отдельный поставить адресацию (192.168.13.1/24) и сделать отдельный DHCP сервер
так мы получим что клиент и его 200 устройств или 200 маков в любом случаи у нас
будут грубо говоря в нашем знакомом "карантине". То есть в отдельной сети у нас будет только он (клиент)
(то есть все его маки, адреса у нас будут под 192.168.13.ххх).
2.1) если хотите, можете защиту и/или привязку IP+MAK сделать, но всё по ситуации.
3) ну а дальше просто, НЕ надо запрещать отдачу DHCP на порту, и сам порт отключать НЕ НАДО,
а так как у нас целая сеть отдана этому клиенту, то просто запрещаете целую отдельную сеть
в файрволе в нужное время. ТО бишь с 01-00 до 06-00 доступ в Интернет запретить для всей сети 192.168.13.0/24,
при этом сеть, получение адресации будет работать, что со стороны клиента будет свидетельствовать
что сам роутер и сеть в рамках физики = исправны.
Пока такие грубые идеи....
P.S.
Так как клиент по вышеописанным лекалам у нас в виде отдельной сети идёт,
можно также сеть 192.168.13.0/24 ограничить по скорости, что вообще будет
даже приятно Вам, отключать не придётся, и клиент на связи и качает
в меру разрешённого.
На микротике можно много изврата наделать
то клиента отсекать или порт, а клиент не против что Вы будете резко так его "отключать"
Пока такие мысли (с учётом того что Вы уже ответили) у меня пришли:
(можно их ещё перемешать с другими нюансами)
1) выделить порт-клиента в отдельный бридж и с отдельной сетью (скажем сеть 192.168.13.0/24)
2) на бридж отдельный поставить адресацию (192.168.13.1/24) и сделать отдельный DHCP сервер
так мы получим что клиент и его 200 устройств или 200 маков в любом случаи у нас
будут грубо говоря в нашем знакомом "карантине". То есть в отдельной сети у нас будет только он (клиент)
(то есть все его маки, адреса у нас будут под 192.168.13.ххх).
2.1) если хотите, можете защиту и/или привязку IP+MAK сделать, но всё по ситуации.
3) ну а дальше просто, НЕ надо запрещать отдачу DHCP на порту, и сам порт отключать НЕ НАДО,
а так как у нас целая сеть отдана этому клиенту, то просто запрещаете целую отдельную сеть
в файрволе в нужное время. ТО бишь с 01-00 до 06-00 доступ в Интернет запретить для всей сети 192.168.13.0/24,
при этом сеть, получение адресации будет работать, что со стороны клиента будет свидетельствовать
что сам роутер и сеть в рамках физики = исправны.
Пока такие грубые идеи....
P.S.
Так как клиент по вышеописанным лекалам у нас в виде отдельной сети идёт,
можно также сеть 192.168.13.0/24 ограничить по скорости, что вообще будет
даже приятно Вам, отключать не придётся, и клиент на связи и качает
в меру разрешённого.
На микротике можно много изврата наделать
-
podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Не праздный вопрос. А вообще клиентов в сети много?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
mol
- Сообщения: 5
- Зарегистрирован: 26 апр 2020, 13:55
Отвечаю клиентов 10-15 и на одном из портов физических сидит мерцающий клиент , чтоб его не отключали он и меняет постоянно мак, поэтому отключаб по IP но при его действиях он сбивает и реальных но не активных в данный момент юзеров.
Нужно отключать порт физически для отключения клиента но хочу настроить это же програмно.
Нужно отключать порт физически для отключения клиента но хочу настроить это же програмно.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Всё равно мало что понимаю (и Ваш подход и логику).mol писал(а): ↑26 апр 2020, 20:27 Отвечаю клиентов 10-15 и на одном из портов физических сидит мерцающий клиент , чтоб его не отключали он и меняет постоянно мак, поэтому отключаб по IP но при его действиях он сбивает и реальных но не активных в данный момент юзеров.
Нужно отключать порт физически для отключения клиента но хочу настроить это же програмно.
Если надо отключать "мерцающего" клиента, его надо всё равно физически найти,
отделить от всех, воткнуть в нужный (отдельный) порт и подписать что этот порт - для этого клиента.
И уже с этим портом и работать тогда.
И разве нельзя с этим клиентом как-то договориться?
Мне было бы (будь я клиентом, каждый день генерировать МАКи), а со стороны админа
его искать, щупать и блокировать.
Делайте как провайдеры, клиент - это отдельный вилан и отдельный порт (в Вашем случаи),
и давать такому клиенту отдельную сеть проще и правильнее, да и порт его
давно надо отделить, даже возможно явно виланом, чтобы он не подставлял других клиентов.
Борьба с ветреными мельницами...
-
mol
- Сообщения: 5
- Зарегистрирован: 26 апр 2020, 13:55
Найти найден , клиент школьник , Вы пробовали договориться со школьниками которые считают себя кулхацкерами, он сидит на одном порту физическом , отключение или выдергивание провода помогает , я хочу автоматизировать этот процесс но роутер не совсем то что есть в описании для микотика многих функций не хватает для настройки.Vlad-2 писал(а): ↑26 апр 2020, 20:37Всё равно мало что понимаю (и Ваш подход и логику).mol писал(а): ↑26 апр 2020, 20:27 Отвечаю клиентов 10-15 и на одном из портов физических сидит мерцающий клиент , чтоб его не отключали он и меняет постоянно мак, поэтому отключаб по IP но при его действиях он сбивает и реальных но не активных в данный момент юзеров.
Нужно отключать порт физически для отключения клиента но хочу настроить это же програмно.
Если надо отключать "мерцающего" клиента, его надо всё равно физически найти,
отделить от всех, воткнуть в нужный (отдельный) порт и подписать что этот порт - для этого клиента.
И уже с этим портом и работать тогда.
И разве нельзя с этим клиентом как-то договориться?
Мне было бы (будь я клиентом, каждый день генерировать МАКи), а со стороны админа
его искать, щупать и блокировать.
Делайте как провайдеры, клиент - это отдельный вилан и отдельный порт (в Вашем случаи),
и давать такому клиенту отдельную сеть проще и правильнее, да и порт его
давно надо отделить, даже возможно явно виланом, чтобы он не подставлял других клиентов.
Борьба с ветреными мельницами...
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну если заниматься провайдерством, то и техника должна быть соответствующая.mol писал(а): ↑26 апр 2020, 20:59 Найти найден , клиент школьник , Вы пробовали договориться со школьниками которые считают себя кулхацкерами, он сидит на одном порту физическом , отключение или выдергивание провода помогает , я хочу автоматизировать этот процесс но роутер не совсем то что есть в описании для микотика многих функций не хватает для настройки.
Например свитч умный (управляемый) с функцией защиты, изоляции и прочее.
Сделать привязку что на порту может у этого "школьника" быть 1 или 2-3 мака и всё.
Ну и ряд других есть моментов того или иного ограничения.
ИЛИ поменять ему тип работы на порту, пусть порт для него это рррое подключение,
одна сессия, один поток данных.
Вариантов много, НО РБ941 - это именно точка доступа (как её называет разработчик)
и она не расчитана для много, опять же, для защиты порта, и ряд других действий,
которых Вам не хватает, нужен умный (профессионально-начальный) свитч.
В любом случаи, ряд советов Вам дано, в микротике есть шедулер, порт(ы) можно по
времени отключать/включать (скриптом), в файрволе любое правила можно уже в самом правиле
добавить временные диапазоны и правила уже сами (без шедулера) будут включаться
или выключаться.
И такова "хакера" я бы изолировал, как я выше писал, отдельной сетью, виланом и что-то
в этом роде.
-
mol
- Сообщения: 5
- Зарегистрирован: 26 апр 2020, 13:55
Vlad-2 писал(а): ↑26 апр 2020, 21:21Ну если заниматься провайдерством, то и техника должна быть соответствующая.mol писал(а): ↑26 апр 2020, 20:59 Найти найден , клиент школьник , Вы пробовали договориться со школьниками которые считают себя кулхацкерами, он сидит на одном порту физическом , отключение или выдергивание провода помогает , я хочу автоматизировать этот процесс но роутер не совсем то что есть в описании для микотика многих функций не хватает для настройки.
Например свитч умный (управляемый) с функцией защиты, изоляции и прочее.
Сделать привязку что на порту может у этого "школьника" быть 1 или 2-3 мака и всё.
Ну и ряд других есть моментов того или иного ограничения.
ИЛИ поменять ему тип работы на порту, пусть порт для него это рррое подключение,
одна сессия, один поток данных.
Вариантов много, НО РБ941 - это именно точка доступа (как её называет разработчик)
и она не расчитана для много, опять же, для защиты порта, и ряд других действий,
которых Вам не хватает, нужен умный (профессионально-начальный) свитч.
В любом случаи, ряд советов Вам дано, в микротике есть шедулер, порт(ы) можно по
времени отключать/включать (скриптом), в файрволе любое правила можно уже в самом правиле
добавить временные диапазоны и правила уже сами (без шедулера) будут включаться
или выключаться.
И такова "хакера" я бы изолировал, как я выше писал, отдельной сетью, виланом и что-то
в этом роде.
Спасибо буду курить в сторону шелдура, виланом не могу не сториться подсеть в дешевом роутере на отдельном порту.