Страница 1 из 1

дроп по MAC-адресу

Добавлено: 06 мар 2012, 14:13
nikolay
Добрый день! Есть микротик RB1100. На нем подняты 2 PPPoE (для Ethernet и ADSL) и PPTP, авторизация через радиус сервер на linux-машине. Проблема в следующем: кто-то из абонентов переодически подключает к нашей линии модем настроенный для подключения к другому провайдеру. Этот модем гадит в логи каждые 4 секунды. Как отсекать все пакеты от него по мак-адресу?
Делаю новое правило с маком виртуалки в фаерволе, чтобы пакеты не проходили на радиус сервер:
5 ;;;
chain=forward action=drop src-mac-address=08:00:27:02:0F:E6
в итоге я с виртуалки подключаюсь без проблем по PPPoE.
что я делаю не так?

Re: дроп по MAC-адресу

Добавлено: 06 мар 2012, 23:36
iSupport
как бы сказать..... MAC адреса работают на L2, а файрвол на L3 ( то есть другом уровне модели OSI)


к вашей задаче больше подойдет switch - rule

Re: дроп по MAC-адресу

Добавлено: 12 мар 2012, 10:01
nikolay
Спасибо! Пока решил проблему следующим образом:
/interface ethernet switch rule> print

1 switch=switch2 ports=eth2
src-mac-address=00:21:91:85:DC:C8/FF:FF:FF:FF:FF:FF copy-to-cpu=no
redirect-to-cpu=no mirror=no new-dst-ports=eth3
Сейчас я кидаю эти пакеты на порт, который тоже используется.
Пакеты до Радиус-сервера не доходят.
Есть ли более правильное решение?