Страница 1 из 1
Блокировка тех, кто ввёл IP вручную...
Добавлено: 13 мар 2014, 16:07
Dragon_Knight
Давным давно была тема, как можно заблокировать тех, кто ввёл IP вручную, а не получил его по DHCP, были примеры со громоздкими скриптами, но я для себя нашёл более рациональное решение.
Данное решение помимо того что блокирует всех кто ввёл IP руками, так ещё и даёт контроль доступа в интернет.
Итак, создаёт 2 правила в фаерволе:
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward comment="Drop !DHCP-Lease" in-interface=LAN-BRIDGE src-address-list=!DHCP-Lease
add action=drop chain=forward comment="Drop !DHCP-Lease" dst-address-list=!DHCP-Lease in-interface=WAN-PPPoE
Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе
DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.
Реализация не идеальная, но в 95% случаев со своей задачей справляется.
Удачи.
Re: Блокировка тех, кто ввёл IP вручную...
Добавлено: 13 мар 2014, 19:53
vqd
В DHCP-server есть вот такая замечательная штука
lease-script (string; Default: ) Script that will be executed after lease is assigned or deassigned. Internal "global" variables that can be used in the script: leaseBound - set to "1" if bound, otherwise set to "0"
leaseServerName - dhcp server name
leaseActMAC - active mac address
leaseActIP - active IP address
Правда сколько раз я с ней пытался разобраться так ничего и не вышло. Хотя делал четко по описанию из мануала
Re: Блокировка тех, кто ввёл IP вручную...
Добавлено: 05 сен 2014, 23:51
Lord3D
Так ведь для этого существует режим ARP Reply-Only с добавлением DHCP-лизов в ARP-таблицу. По-моему, так проще и логичнее.
Re: Блокировка тех, кто ввёл IP вручную...
Добавлено: 24 июл 2015, 22:38
23q
Lord3D писал(а):Так ведь для этого существует режим ARP Reply-Only с добавлением DHCP-лизов в ARP-таблицу. По-моему, так проще и логичнее.
в таком режиме клиент получает ip по dhcp и маршрутизатор не может смаршрутизировать его пока связка mac+ip не будет добавлена в arp вручную. а если поставить в свойствах сервера add arp for lesses он будет добавлять даже если стоит режим ARP Reply-Only?
Re: Блокировка тех, кто ввёл IP вручную...
Добавлено: 25 июл 2015, 10:40
vqd
23q писал(а): а если поставить в свойствах сервера add arp for lesses он будет добавлять даже если стоит режим ARP Reply-Only?
да
Re: Блокировка тех, кто ввёл IP вручную...
Добавлено: 16 фев 2018, 11:54
maksim.kurilchenko
Dragon_Knight писал(а): ↑13 мар 2014, 16:07
Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе
DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.
Помогите пожалуйста, как быть в случае если адреса раздает сторонний DHCP в локальной сети, как сделать так чтобы Микротик пропускал по HTTP/HTTPS (протоколы не суть) только статические адреса по ARP таблице, которые закрепляются вручную?
Re: Блокировка тех, кто ввёл IP вручную...
Добавлено: 16 фев 2018, 23:03
enzain
maksim.kurilchenko писал(а): ↑16 фев 2018, 11:54
Dragon_Knight писал(а): ↑13 мар 2014, 16:07
Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе
DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.
Помогите пожалуйста, как быть в случае если адреса раздает сторонний DHCP в локальной сети, как сделать так чтобы Микротик пропускал по HTTP/HTTPS (протоколы не суть) только статические адреса по ARP таблице, которые закрепляются вручную?
Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.
На интерфейсе смотрящем в сеть - режим арта поставить replay only
Re: Блокировка тех, кто ввёл IP вручную...
Добавлено: 19 фев 2018, 07:05
maksim.kurilchenko
enzain писал(а): ↑16 фев 2018, 23:03
Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.
Не, мне надо только тем, за которыми статика закреплена.
Re: Блокировка тех, кто ввёл IP вручную...
Добавлено: 19 фев 2018, 09:19
enzain
maksim.kurilchenko писал(а): ↑19 фев 2018, 07:05
enzain писал(а): ↑16 фев 2018, 23:03
Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.
Не, мне надо только тем, за которыми статика закреплена.
Ну значит только их и добавляйте в арп таблицу.