Небольшая организация, около 100 локальных машин. Недавно установил на виртуальную машину MikroTik RouterOS 6.38. Настроил в качестве шлюза раздающего интернет, создал запрещающие правила, все работает нормально, но есть проблема. Если ушлый пользователь создает на локальной машине PPPoE соединение, то она начинает ходить в интернет не взирая ни на какие правила в фаерволе. Как можно в MikroTik RouterOS запретить такое?
P.S. О MikroTik RouterOS узнал буквально месяц назад, глубоких знаний по ней нет, так только нахватался верхов, пока все в процессе изучения.
Как запретить PPPoE соединения в MikroTik RouterOS?
- NikolaiN
- Сообщения: 14
- Зарегистрирован: 16 мар 2017, 19:11
- Откуда: РК
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Мало информации.
Для чего у вас в сети PPPoE сервер?
Какие ещё сетевые устройства есть?
Интернет раздаёт RouterOS?
Для чего у вас в сети PPPoE сервер?
Какие ещё сетевые устройства есть?
Интернет раздаёт RouterOS?
- NikolaiN
- Сообщения: 14
- Зарегистрирован: 16 мар 2017, 19:11
- Откуда: РК
PPPoE сервера - нет.
Интернет раздает RouterOS.
Суть проблемы в том, что если пользователь на локальной машине (которая получает интернет через RouterOS) создаст высокоскоростное соединение с использованием логина и пароля (PPPoE), то эта локальная машина начинает ходить в интернет невзирая на запрещающие правила созданные в RouterOS.
Есть "ушлые" пользователи, которые "тырят" в интернете логины/пароли (не в нашей организации), тем более что это очень просто, ребенок справится, и используют их на локальных машинах. Надо запретить им ходить в интернет в таком случае.
Интернет раздает RouterOS.
Суть проблемы в том, что если пользователь на локальной машине (которая получает интернет через RouterOS) создаст высокоскоростное соединение с использованием логина и пароля (PPPoE), то эта локальная машина начинает ходить в интернет невзирая на запрещающие правила созданные в RouterOS.
Есть "ушлые" пользователи, которые "тырят" в интернете логины/пароли (не в нашей организации), тем более что это очень просто, ребенок справится, и используют их на локальных машинах. Надо запретить им ходить в интернет в таком случае.
-
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Запретили PPPoE, завтра они начнут использовать L2TP, PPTP и так далее.
Запретите и это, они начнут пользоваться SSTP, который вообще никак не отловить, так сказать, для этого и задумывался.
Все эти вещи запрещаются не на микротике, а политиками безопасности. С какого перепугу рядовой пользователь может создать сам сетевое подключение???
Всех в домен и политики, запрещения, снова политики.
Запретите и это, они начнут пользоваться SSTP, который вообще никак не отловить, так сказать, для этого и задумывался.
Все эти вещи запрещаются не на микротике, а политиками безопасности. С какого перепугу рядовой пользователь может создать сам сетевое подключение???
Всех в домен и политики, запрещения, снова политики.
- NikolaiN
- Сообщения: 14
- Зарегистрирован: 16 мар 2017, 19:11
- Откуда: РК
gmx писал(а):Все эти вещи запрещаются не на микротике, а политиками безопасности. С какого перепугу рядовой пользователь может создать сам сетевое подключение???
Всех в домен и политики, запрещения, снова политики.
Значит силами микротика такое не сделать... Хорошо, спасибо за помощь. Будем думать в этом направлении.
P.S. Несколько лет назад делал такое, создавал домен, но потом отказался из-за некоторых неудобств. Это школа, на уроках есть темы по настройке той же винды, там надо показывать и давать возможность ученикам пробовать настраивать. Я потом поставил прогу управления классом, там просто и легко можно было запретить и разрешить "вольницу" на ученических машинах. Но теперь я не преподаю, ушел на техническую должность, и "админю" все сетку школы.
-
- Сообщения: 26
- Зарегистрирован: 22 мар 2017, 12:26
В школьных машинах лучше использовать загружаемый образ с ro раздела, захотел сохранить документ-сетевая шара. Главный плюс такого решения при включении опять чистая винда с настройками по умолчанию, единственное все это внедрять вряд ли кто будет. Был у меня как-то опыт с небольшим обслуживанием класса в пту, там не просто сборник вирусов, там полный писец и учителя с этим не борются.
-
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Плевать на настройки винды. Учитель через проектор покажет. А ученикам обычного пользователя и все. Никакие новые подключения они не смогут сделать. И без домена можно обойтись.
Я тоже в небольшой школе админю. Как-то учителя не предъявляли претензии по поводу этого. Они находят, чем заниматься и без настроек винды. Ну и потом, замена обоев доступна и обычному пользователю.
Я тоже в небольшой школе админю. Как-то учителя не предъявляли претензии по поводу этого. Они находят, чем заниматься и без настроек винды. Ну и потом, замена обоев доступна и обычному пользователю.
- NikolaiN
- Сообщения: 14
- Зарегистрирован: 16 мар 2017, 19:11
- Откуда: РК
Да, с учениками можно разобраться, проблем не будет. Тут с персоналом есть такая проблема, их надо тоже поприжать...
Это все решаемо различными способами, я просто хотел узнать есть ли в RouterOS возможность запрета PPPoE соединений с клиентских машин.
Это все решаемо различными способами, я просто хотел узнать есть ли в RouterOS возможность запрета PPPoE соединений с клиентских машин.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
NikolaiN писал(а):Это все решаемо различными способами, я просто хотел узнать есть ли в RouterOS возможность запрета PPPoE соединений с клиентских машин.
Я всё равно не понял или туплю: РРРоЕ - протокол широковещательный, даже если они создали подключение,
даже ввели логин и пароль действующий, вопрос?!! куда они подключаются? То есть пакет от клиент-РРРоЕ должен быть/может существовать в рамках L2-уровня..ТОЛЬКО!
И второе:
опять же, каждый туннельный протокол это набор - портов, протоколов и ещё чего либо. Значит так или иначе можно запретить подключения...главное посмотреть и про-анализировать.
P.S.
Может всё же не РРРоЕ, а РРТР ?
-
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
PPPoE - это туннельный протокол, работающий на уровень ниже IP, а значит для работы не требующий определенные порты, поэтому "поймать" его обычными средствами невозможно.
Однако, микротик имеет очень интересный bridge filter, а нем на вкладке general в разделе MAC protocol есть MAC Protocol-num, где есть pppoe-discovery и есть pppoe-session. Можно попробовать его отловить при помощи этого фильтра. Но все соединения должны физически пройти через бридж микротика.
Сразу предупреждаю, сам этого никогда не делал и вообще не представляю, работает ли это или нет. Вам и карты в руки.
Однако, микротик имеет очень интересный bridge filter, а нем на вкладке general в разделе MAC protocol есть MAC Protocol-num, где есть pppoe-discovery и есть pppoe-session. Можно попробовать его отловить при помощи этого фильтра. Но все соединения должны физически пройти через бридж микротика.
Сразу предупреждаю, сам этого никогда не делал и вообще не представляю, работает ли это или нет. Вам и карты в руки.