Блокируем не используемые статические адреса ЛВС

Обсуждение ПО и его настройки
Ответить
pen07
Сообщения: 2
Зарегистрирован: 12 дек 2018, 08:31

Добрый день!
Подскажите как сделать следующие действие.
У нас на предприятие локальная сеть статическая, выдано 130 айпи адресов. Но на днях заметил люди приносят свои ноутбуки в водить следующий за занятым и сидят в локальной сети предприятия. Я хотел бы ограничить порты шары чтобы не могли ходит по сетевым папкам.
Получается я сделал отдельный Address List добавил туда айпи адреса которые не используются. Вот только не работает, нужна помощь.

Пример
Сделал правило

Код: Выделить всё

add chain = forward src-address=192.168.0.0/24 protocol = tcp src-port = 139,445  action = drop address-list="Blocked"
add chain = forward src-address=192.168.0.0/24 protocol = udp src-port = 137,137  action = drop address-list="Blocked"
Список Blocked

Код: Выделить всё

add address=192.168.0.131 list=Blocked
add address=192.168.0.132 list=Blocked
add address=192.168.0.133 list=Blocked
add address=192.168.0.134 list=Blocked
add address=192.168.0.135 list=Blocked
и т.д.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Оно и не заработает, скорее всего...

Проверьте, ведь локальные ресурсы вашей сети будут по прежнему доступны и при выключенном микротике? Компьютеры локальной сети не обращаются к шлюзу для доступа к ресурсам своей собственной сети.

Подключайте шары локальной сети непосредственно в микротик. И далее есть специальный фаерволл уже в Bridge. Там можно это на уровне бриджа ограничить.

Либо ограничивать фаерволом на самих серверах, как вариант.


pen07
Сообщения: 2
Зарегистрирован: 12 дек 2018, 08:31

gmx писал(а): 12 дек 2018, 08:52 Подключайте шары локальной сети непосредственно в микротик. И далее есть специальный фаерволл уже в Bridge. Там можно это на уровне бриджа ограничить.
Подскажите как это сделать.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Bridge - Filters, и там почти также как обычном фаерволле, но с некоторыми ограничениями.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

pen07 писал(а): 12 дек 2018, 08:33
.... чтобы не могли ходит по сетевым папкам...
Если только для этого то. Настройте список пользователей для доступа к сетевым папкам. Или просто смените логин пароль и введите новый только на доверенных устройствах :nez-nayu:

При таком количестве пользователей их надо жестко ограничивать в правах, меньше головной боли.

Если покажите схему сети советов может быть больше и лучше.
Последний раз редактировалось Ca6ko 12 дек 2018, 13:54, всего редактировалось 1 раз.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да забыл написать, можно проще сделать, на вкладке Bridge нажмите кнопку Settings и поставьте галочку Use IP Firewall и тогда у вас будут работать обычные правила в IP-Firewall для трафика, который проходит через бридж микротика.
Очень полезно почитать https://mum.mikrotik.com/presentations/ ... 141611.pdf

Но это все, в рамках вашей задачи, при условии, что трафик до общих папок проходит через микротик. Если стоят коммутаторы и в них включены сервера и потребители, то до микротика трафик не дойдет.


Ответить