Блокировка тех, кто ввёл IP вручную...

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1544
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Блокировка тех, кто ввёл IP вручную...

Сообщение Dragon_Knight » 13 мар 2014, 16:07

Давным давно была тема, как можно заблокировать тех, кто ввёл IP вручную, а не получил его по DHCP, были примеры со громоздкими скриптами, но я для себя нашёл более рациональное решение.
Данное решение помимо того что блокирует всех кто ввёл IP руками, так ещё и даёт контроль доступа в интернет.

Итак, создаёт 2 правила в фаерволе:

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward comment="Drop !DHCP-Lease" in-interface=LAN-BRIDGE src-address-list=!DHCP-Lease
add action=drop chain=forward comment="Drop !DHCP-Lease" dst-address-list=!DHCP-Lease in-interface=WAN-PPPoE

Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.

Реализация не идеальная, но в 95% случаев со своей задачей справляется.
Удачи.

Помощь в ремонте настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
vqd
Модератор
Сообщения: 3810
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Re: Блокировка тех, кто ввёл IP вручную...

Сообщение vqd » 13 мар 2014, 19:53

В DHCP-server есть вот такая замечательная штука
lease-script (string; Default: ) Script that will be executed after lease is assigned or deassigned. Internal "global" variables that can be used in the script: leaseBound - set to "1" if bound, otherwise set to "0"
leaseServerName - dhcp server name
leaseActMAC - active mac address
leaseActIP - active IP address



Правда сколько раз я с ней пытался разобраться так ничего и не вышло. Хотя делал четко по описанию из мануала
Есть интересная задача и бюджет? http://mikrotik.site
Lord3D
Сообщения: 49
Зарегистрирован: 04 окт 2012, 12:39

Re: Блокировка тех, кто ввёл IP вручную...

Сообщение Lord3D » 05 сен 2014, 23:51

Так ведь для этого существует режим ARP Reply-Only с добавлением DHCP-лизов в ARP-таблицу. По-моему, так проще и логичнее.
23q
Сообщения: 57
Зарегистрирован: 16 май 2013, 11:21

Re: Блокировка тех, кто ввёл IP вручную...

Сообщение 23q » 24 июл 2015, 22:38

Lord3D писал(а):Так ведь для этого существует режим ARP Reply-Only с добавлением DHCP-лизов в ARP-таблицу. По-моему, так проще и логичнее.

в таком режиме клиент получает ip по dhcp и маршрутизатор не может смаршрутизировать его пока связка mac+ip не будет добавлена в arp вручную. а если поставить в свойствах сервера add arp for lesses он будет добавлять даже если стоит режим ARP Reply-Only?
vqd
Модератор
Сообщения: 3810
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Re: Блокировка тех, кто ввёл IP вручную...

Сообщение vqd » 25 июл 2015, 10:40

23q писал(а): а если поставить в свойствах сервера add arp for lesses он будет добавлять даже если стоит режим ARP Reply-Only?


да
Есть интересная задача и бюджет? http://mikrotik.site

Вернуться в «Готовые конфигурации Mikrotik»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость