не выдавать IP по DHCP

Обсуждение ПО и его настройки
Ответить
reevvz
Сообщения: 44
Зарегистрирован: 22 июл 2016, 19:09

Добрый день форумчане!
Подскажите пожалуйста, можно ли каким то образом конкретному хосту выключить выдачу IP адресу от DHCP сервера?
То есть я вижу в таблице какие у меня хосты получают IP адрес автоматически, и я хочу конкретному хосту в данный момент выключить подключение к сети.
Как мне это сделать?
Спасибо.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Самое простое и правильно, если прям выключить вообще, вам нужен умный свич, на котором вы просто погасите порт когда это будет нужно, но его скорее всего нет и поэтому если клиент уже получил адрес, то никак, он будет с ним пока не истечет время аренды, или пока сам клиент не отдаст адрес например в следствии перезагрузки. Если клиентов не много, то можно убрать пул адресов и всем руками прописать какой адрес кому достается, а "интересному" клиенту включать и выключать выдачу по требованию, но повторюсь, если он получил адрес и если он еще и подключен не напрямую в микротик а через какой-то свич-свичи, то сделать вы ничего не сможете кроме как пойти и вырвать кабель из тупого свича или устройства клиента.
Если речь идет о вайфае то у него есть "аксес лист" куда можно добавить мак устройства и сказать что данному маку запрещено подключаться.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Возможно, сам подход не слишком корректен. Вам для чего это надо? Что вы хотите запретить данному хосту?
Возможно есть другие пути для достижения цели?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
reevvz
Сообщения: 44
Зарегистрирован: 22 июл 2016, 19:09

Спасибо коллеги за советы!
Вообще мне нужно некоторым хостам запрещать либо выход в интернет либо доступ к внутренним ресурсам сети.
Умного свитча нет. И клиенты естественно подключены через обычный свитч, к порту микротика.


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

К локальным ресурсам они будут ходить напрямую через свитч.
Для ограничения доступа в инет в forward правило для доступа к инету повесьте address list
reevvz писал(а): 20 май 2020, 14:05 Спасибо коллеги за советы!
Вообще мне нужно некоторым хостам запрещать либо выход в интернет либо доступ к внутренним ресурсам сети.
Умного свитча нет. И клиенты естественно подключены через обычный свитч, к порту микротика.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Так, если выход в интернет, то просто включить NAT только для отдельного списка адресов. Связка статиков DHCP->Lease и IP->ARP привяжет MAC к IP-адресу.
Если запретить доступ к локальным ресурсам, тогда в бридже есть вкладка Filters, вот там можно попробовать запретить ходить в локалку, но работать нужно аккуратно, с оглядкой. Дабы не закрыть всё и совсем. Но это очень неправильно с админской точки зрения. Лучше таким хостам вообще выдавать адреса не из общего пула. Тогда можно все описать значительно правильнее.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
faust
Сообщения: 3
Зарегистрирован: 19 май 2020, 23:49

Может быть мой ответ покажется глупым, но я бы на другом оборудовании (микротики очень плохо знаю) попробовал бы реализовать что-то следующее:
1. Те устройства, которым нужно запретить доступ в локальную сеть засунуть в DMZ - по логике вещей, доступ в интернет будет, а разрешать какой трафик из DMZ в лан - решать Вам.
2. Тем устройствам, которым нужно запретить доступ в интернет я бы просто выдал адреса из определённого списка и адреса из этого списка не пускал дальше микротика.
Мне кажется оба предложения можно +- реализовать и на РОС.
Кстати, сразу вопрос к знатокам - как на РОС настроить DMZ - что-то не попалась на глаза настройка.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) я бы всё таки посоветовал ТС определиться, если клиент законный, адрес ему положено выдать,
иначе сетевые компоненты и другое ПО на компьютере может ругаться.
Это всё равно что гостям запрещать пользоваться водой, туалетом. Поэтому адресацию надо давать.
(я так считаю).

2) Так как мы узнали что причина банальна, надо лимитировать/ограничить Интернет, то пользователь imaoskol
дал правильное направление. У меня это сделано в НАТе через специальный адрес-лист,
кому НАТ для Интернета запрещён, но в тоже время по доп-офисам и прочим сетям - пожалуйста.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить