Страница 1 из 1
DHCP setup или правила firewall ?
Добавлено: 19 фев 2013, 10:46
vitaly
Всем привет!
Имеется несколько подсетей..
1. 192.168.1.0/24
2. 192.168.2.0/24
3. 192.168.3.0/24
Настроен DHCP сервер с пулом(192.168.2.2-192.168.2.254). в остальные сетки прописана только статика.
Всё отлично работает, но.. На клиенте можно прописать IP руками и попасть в любую подсеть..
Как в сетке х.х.1.0/24 и х.х.3.0/24 разрешить появляться только прописанным мной устройствам и запретить всем остальным.
PS. понимаю, что мак можно клонировать и попасть в любую сеть.. но пока для меня это не важно.
Спасибо!
Re: DHCP setup или правила firewall ?
Добавлено: 19 фев 2013, 22:44
iSupport
смотрите, если у вас на прописана ручками например подсеть 192.168.1.0/24
то в остальные подсети человек ходит через роутер
в роутере делаем ip firewall adress-list, например ALLOW_ALL
в него заносим IP тех, кому можно ходить везде
по остальным правило
ip firewall chain=forward src-adress list=!ALLOW_ALL dst-adress=192.168.0.0/16 action=drop
то есть для тех, кто не в адресс-листе нельзя ходить в соседние подсети.
В подсеть 192.168.1.0\24 он все равно сможет ходить, так как тут роутер не учавствует, а пакеты летят через коммутатор
Re: DHCP setup или правила firewall ?
Добавлено: 20 фев 2013, 08:08
plin2s
Тут скорее вам надо средствами операционной системы запрещать менять сетевые настройки. Даже если вы сделаете выдачу настроек по DHCP и создадите на микротике статические записи по MAC адресу, то человек всегда сможет выставить ip вручную.
Re: DHCP setup или правила firewall ?
Добавлено: 20 фев 2013, 08:17
gmx
Re: DHCP setup или правила firewall ?
Добавлено: 20 фев 2013, 11:18
vitaly
Огромное спасибо за советы!
Сейчас буду изучать.. Как всё получится, напишу сюда решение.. может кому пригодится.
Re: DHCP setup или правила firewall ?
Добавлено: 21 фев 2013, 13:48
vitaly
Добрый день, бьюсь уже третий день, не могу понять как правильно настроить подсети.
Описание:
От рутера к свичу подключние идет через один порт. На VLAN'ы не поделить т.к. свичи этого не умеют.
Сеть разделена на 3 подсети. В первой сервера, принтеры. Во второй все зарегистрированные пользователи, с которых
собраны их MАКи. В третью сетку ты можешь попасть если DHCP сервер не знает твой MAK. (в основном тут мобильники)
Всe статические (в сети 192.168.2.0/24) IP поделены на группы, им прописана скорость(queue tree) и определённые
доступы к принтерам, серверам.. На третью сеть стоит общее правило по скорости.
Проблема:
Человек прописывает свой IP вручную (к примеру 192.168.1.100), попадает в первую подсеть и общается с серваками напрямую
через switch.. т.е. никакие правила firewall'а на него не действуют.
Задача:
При запросе IP адреса клиентом, проверять прописанные МАС'и и IP. Если соответствий нет, не выдавать IP.
С Уважением,
Виталий.
PS. Для наглядности нарисовал упрощенные схемы сети.
- topologyNet.jpg (16.3 КБ) 4289 просмотров
Re: DHCP setup или правила firewall ?
Добавлено: 21 фев 2013, 14:40
plin2s
Вы сами ответили на свой вопрос. Человек прописывает адрес вручную, а не получает его по DHCP. Соответственно роутер никак не может повлиять на его настройки.
Есть умные свичи, которые умеют port security (например cisco). Извращаясь с правилами можно запретить обращения от "чужих" ip адресов с данного порта. Так что варианта два - либо вы запрещаете смену ip на уровне ОС/софта, либо блокируете пакеты на уровне свича.
Re: DHCP setup или правила firewall ?
Добавлено: 22 фев 2013, 11:43
vitaly
plin2s писал(а):Вы сами ответили на свой вопрос......
Эх.. понятно.
В любом случае, спасибо за объяснение.