Белый список устройств v6.38.5

Обсуждение ПО и его настройки
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Точно, сейчас попробовал, входит просто и легко. Странно, я об этом механизме думал иначе. Спасибо за науку. Учту на будущее.
То есть для блокировки по МАС нужно использовать фильтры в бридже, скорее всего.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

Я конечно еще тот сетевой инженер, но насколько я понял смысл там в следующем, если в сети появляется определенный IP то он берется его МАС и сравнивается с данными в таблице, если они соответствуют доступ дается, если не соответствует, то доступ заблокируется, это типа защита от IP введенных вручную


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да все мы тут учимся, всю жизнь и всегда. Кто не учится, тому тут не интересно)))


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

Только что попробовал внести свой планшет в АРП таблицу, ниче ему не заблокировало, подключился как так и нужно :(


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

В бридже в фильтрах блокируем по МАС в цепочке input или output (я попробовал и там и там, все получается)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

То есть получается внутри бриджа пакеты холят, а вот наружу-извне их не пускает


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Есть настройка в Switch / Hosts, там можно привязать mac к порту.
Это не оно ли?


maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

Блокировка тех, кто ввёл IP вручную...

viewtopic.php?f=13&t=5180&p=32599#p32599


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

maxim_minton писал(а):Блокировка тех, кто ввёл IP вручную...

viewtopic.php?f=13&t=5180&p=32599#p32599


Если привязываться к результатам работы DHCP сервера, и остальное резать правилами FireWall - отрежется все VPN. Нужно аккуратно.
А игры с ARP мне не очень понятны.
ARP таблицы ведут не только коммутаторы, а все хосты в сети. В границах одной подсети хосты вообще напрямую по маку общаются. Им IP нужен для первого контакта, или для общения с другой подсетью.
А коммутатор если не знает на каком порту нужный mac (нет информации в ARP) - он обязан бродкастить.
Не должно ARP Reply-Only работать как фильтр. Оно просто бродкастовый шторм вызовет, если много обмена будет с хостами, которые не попали в таблицу.

Так должно быть.


maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

Ну, мои познания в сетевых технологиях весьма посредственны, просто до микротика у меня был тп-линк, там была функция IP Address & MAC Address binding которая по моему разумению и предотвращала подмену ip или mac адреса, я думал в микротике то уж точно такое должно быть, просто может быть замудренная настройка.


Ответить