Запрет выхода в инет с левым ипом
-
- Сообщения: 38
- Зарегистрирован: 18 июл 2013, 16:33
Имеем устройство (аккуратнее с выражениями). В количестве одного штуки. И сеть в которой ипы раздаются по DHCP. Раздача идет с привязкой к маку. По портам пока не катит так как нету нужной железки. устройство (аккуратнее с выражениями) имеет ограничение на протоколы по которым он может ходить в инет. А его сосед не имеет таких ограничений. И человек тупо переписывает себе его ип и свободно делает что хочет. Есть возможность его ограничить в присвоении чужого ипа и дальнейшей под ним работой? Или заблокировать инет тем кто не арендовал ип у сервера?
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
для начала сделать связку IP + MAC. будет работать пока человек не научится переписывать еще и MAC адрес и менять его вместе с IP. потом, купить управляемое железо в сеть и разделить всё по vlan'ам и ACL'ами нарезать каждому порту свои ограничения. можно еще vpn ввести.
-
- Сообщения: 38
- Зарегистрирован: 18 июл 2013, 16:33
не совсем понятно что за связка мак + ип(точнее ее применение). каким образом правилами можно ограничить конкретному ипу ходить в инет если у этого ипа не тот мак?
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
IP=>DHCP-server вкладка Leases с помощью кнопочки Make Static можно закрепить за определенным МАС определенный IP. Далее все разруливается firewall и Address Lists
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
edinorog писал(а):не совсем понятно что за связка мак + ип(точнее ее применение). каким образом правилами можно ограничить конкретному ипу ходить в инет если у этого ипа не тот мак?
почитайте что такое MAC и что такое IP и как это работает вместе. если Вы создадите в IP - ARP статические связки, то если хост не будет удовлетворять параметры связки, то он не сможет вообще с микротиком работать.
-
- Сообщения: 38
- Зарегистрирован: 18 июл 2013, 16:33
тут скорее нужно читать о ARP =). ок спс за помощь
-
- Сообщения: 35
- Зарегистрирован: 21 дек 2011, 10:30
simpl3x писал(а):для начала сделать связку IP + MAC. будет работать пока человек не научится переписывать еще и MAC адрес и менять его вместе с IP. потом, купить управляемое железо в сеть и разделить всё по vlan'ам и ACL'ами нарезать каждому порту свои ограничения. можно еще vpn ввести.
Как раз у меня такой доступ в сети + адреслист привязанных ip к mac, и редирект всех кроме адреслист на вебсервер микротика, где черным по белому: Доступ запрещен!
Вроде все устраивает, но на сегодня в сети всего около 20 компов и у некоторых абонов их по 2 и уже начинает надоедать ручная работа по прописке ip+mac+шейпер+адреслист.
Прихожу к мысли все это дело перевести на PPPoE, пока изучаю что да как, но уже вижу 1 минус, абоненту придется настраивать самому PPPoE подключение при переустановки винды, замены компа и т.д., что не все могут сделать, в отличие от ip+mak кабель в сетевую и готово!
Кстати Гуру подскажите, ip+mac правильно или нет называть как подключение IPoE?
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
ну безопастность всегда предполагает движения соразмерные с потерями, которые можно понести без её обеспечения.
не Гуру, ибо не проповедую, но щитаю что IPoE
не Гуру, ибо не проповедую, но щитаю что IPoE
-
- Сообщения: 9
- Зарегистрирован: 25 апр 2013, 17:26
podarok66 писал(а):IP=>DHCP-server вкладка Leases с помощью кнопочки Make Static можно закрепить за определенным МАС определенный IP. Далее все разруливается firewall и Address Lists
IP > ARP > Make static и никаких танцев с фаерволлом и адресс листами)
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
ullquiorra писал(а):podarok66 писал(а):IP=>DHCP-server вкладка Leases с помощью кнопочки Make Static можно закрепить за определенным МАС определенный IP. Далее все разруливается firewall и Address Lists
IP > ARP > Make static и никаких танцев с фаерволлом и адресс листами)
ну таким образом вы просто создадите статическую связку. дальше, чтобы разграничить доступ в интернет, вам все равно надо танцевать с фаерволом и списками\адресами.