Запрет выхода в инет с левым ипом

[edinorog]

Имеем устройство (аккуратнее с выражениями). В количестве одного штуки. И сеть в которой ипы раздаются по DHCP. Раздача идет с привязкой к маку. По портам пока не катит так как нету нужной железки. устройство (аккуратнее с выражениями) имеет ограничение на протоколы по которым он может ходить в инет. А его сосед не имеет таких ограничений. И человек тупо переписывает себе его ип и свободно делает что хочет. Есть возможность его ограничить в присвоении чужого ипа и дальнейшей под ним работой? Или заблокировать инет тем кто не арендовал ип у сервера?

[simpl3x]

для начала сделать связку IP + MAC. будет работать пока человек не научится переписывать еще и MAC адрес и менять его вместе с IP. потом, купить управляемое железо в сеть и разделить всё по vlan'ам и ACL'ами нарезать каждому порту свои ограничения. можно еще vpn ввести.

[edinorog]

не совсем понятно что за связка мак + ип(точнее ее применение). каким образом правилами можно ограничить конкретному ипу ходить в инет если у этого ипа не тот мак?

[podarok66]

IP=>DHCP-server вкладка Leases с помощью кнопочки Make Static можно закрепить за определенным МАС определенный IP. Далее все разруливается firewall и Address Lists

[simpl3x]

не совсем понятно что за связка мак + ип(точнее ее применение). каким образом правилами можно ограничить конкретному ипу ходить в инет если у этого ипа не тот мак?

почитайте что такое MAC и что такое IP и как это работает вместе. если Вы создадите в IP - ARP статические связки, то если хост не будет удовлетворять параметры связки, то он не сможет вообще с микротиком работать.

[edinorog]

тут скорее нужно читать о ARP =). ок спс за помощь

[fanat]

для начала сделать связку IP + MAC. будет работать пока человек не научится переписывать еще и MAC адрес и менять его вместе с IP. потом, купить управляемое железо в сеть и разделить всё по vlan'ам и ACL'ами нарезать каждому порту свои ограничения. можно еще vpn ввести.

Как раз у меня такой доступ в сети + адреслист привязанных ip к mac, и редирект всех кроме адреслист на вебсервер микротика, где черным по белому: Доступ запрещен!
Вроде все устраивает, но на сегодня в сети всего около 20 компов и у некоторых абонов их по 2 и уже начинает надоедать ручная работа по прописке ip+mac+шейпер+адреслист.
Прихожу к мысли все это дело перевести на PPPoE, пока изучаю что да как, но уже вижу 1 минус, абоненту придется настраивать самому PPPoE подключение при переустановки винды, замены компа и т.д., что не все могут сделать, в отличие от ip+mak кабель в сетевую и готово!
Кстати Гуру подскажите, ip+mac правильно или нет называть как подключение IPoE?

[simpl3x]

ну безопастность всегда предполагает движения соразмерные с потерями, которые можно понести без её обеспечения.

не Гуру, ибо не проповедую, но щитаю что IPoE

[ullquiorra]

IP=>DHCP-server вкладка Leases с помощью кнопочки Make Static можно закрепить за определенным МАС определенный IP. Далее все разруливается firewall и Address Lists

IP > ARP > Make static и никаких танцев с фаерволлом и адресс листами)

[simpl3x]

IP=>DHCP-server вкладка Leases с помощью кнопочки Make Static можно закрепить за определенным МАС определенный IP. Далее все разруливается firewall и Address Lists

IP > ARP > Make static и никаких танцев с фаерволлом и адресс листами)

ну таким образом вы просто создадите статическую связку. дальше, чтобы разграничить доступ в интернет, вам все равно надо танцевать с фаерволом и списками\адресами.