Коллеги!
Микротик RB2011 стоит в школе. В школе есть WiFi, сделан он на TP-Link. Микротик поднимает PPPoE и NAT, он же DCHP сервер.
То есть Микротик главный!
WiFi служебный. В основном подключены стационарные компы через WiFi USB девайсы.
Через пару месяцев пароль от WiFi узнали.......
Подскажите, как правильно и эффективно заблокировать особо активных пользователей???
Вот сейчас смотрю в таблице DHCP и вижу, что Микротик за последний час выдал 60!!! новых адресов для Андроидов. Срок аренды у меня 1 час, но все равно 60 левых подключений много.
Блокировать нужно по MAC-адресу.
Делать жесткую связку IP+MAC для рабочих компов - не вариант. Не то что бы это совсем не возможно, но просто учителя свои домашние ноуты в школу таскают, разве за всеми уследишь? А наиболее активных левых пользователей не так уж и много. Проще их по MAC заблокировать.
Спасибо
Блокировка по MAC адресу
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
ну если вам надо отфильтровать чужие MAC адреса, то как то так:
и на каждого злобного гения такое правило.
Код: Выделить всё
ip firewall filter add src-mac-address=12:23:34:56:67:89 action=drop chain=forward
и на каждого злобного гения такое правило.
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Спасибо!
Как думаете, сколько он таких правил потянет???
Как думаете, сколько он таких правил потянет???
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Вообще правильнее развернуть Radius сервер и авторизовывать по MAC. От особо шаловливых но глупых спасет. С умными будет труднее.
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Не на чем поднимать Radius.
Это надо сервер. На нормальный - денег не дадут, а колхозить самому как-то не хочется.
В простейшие проблемы упрется: кто его будет включать, после пропадания питания, где его поставить, чтобы был под присмотром, еще на ночь завхоз заставит выключать и так далее...
Это надо сервер. На нормальный - денег не дадут, а колхозить самому как-то не хочется.
В простейшие проблемы упрется: кто его будет включать, после пропадания питания, где его поставить, чтобы был под присмотром, еще на ночь завхоз заставит выключать и так далее...
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
http://wiki.mikrotik.com/wiki/Manual:User_Manager
вы почитайте, может быть это вам поможет.
сколько то потянет. суть в том, что это не верный подход, так блокировать каждого может надоесть. это ж надо следить,выявлять,создавать правила.правильно, когда авторизацию настроите, например каждому учителю свой персональный пароль, с ограничением в одну активную авторизацию. и все. у людей по двум причинам будет меньше желания раздавать пароли.
вы почитайте, может быть это вам поможет.
Как думаете, сколько он таких правил потянет???
сколько то потянет. суть в том, что это не верный подход, так блокировать каждого может надоесть. это ж надо следить,выявлять,создавать правила.правильно, когда авторизацию настроите, например каждому учителю свой персональный пароль, с ограничением в одну активную авторизацию. и все. у людей по двум причинам будет меньше желания раздавать пароли.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
А я бы не парился, число легитимных юзеров в школе достаточно небольшое. Делаем их Make Static в DHSP server -> Leases, затем ограничиваем пул именно этими адресами. И всё. Панацеей конечно не будет, но большинство левых отсеет.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Спасибо, коллеги!
Этот учебный год дотяну. Я там наездной!
Проблему сейчас оперативно решу через фаерволл, а там будет видно.
Этот учебный год дотяну. Я там наездной!
Проблему сейчас оперативно решу через фаерволл, а там будет видно.
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Вариант с dhcp не сильно поможет. Узнать диапозон адресов учительских компьютеров не составит труда, а вбить адрес вручную тоже не проблема.
Я бы на вашем месте пошел от обратного. Фаерволом запретить все, кроме известных MAC-ов, а там уж смотреть насколько умные нарушители окажутся.
Я бы на вашем месте пошел от обратного. Фаерволом запретить все, кроме известных MAC-ов, а там уж смотреть насколько умные нарушители окажутся.
-
- Сообщения: 2359
- Зарегистрирован: 06 фев 2011, 20:44
Дети нынче очень и очень грамотные пошли, обучаются обходить запреты быстрее чем мы их создаем
я бы в вай-фай сети поднял отдельную подсеть и хотспот
учителям бы раздал логины и пароли, можно по-радиусу авторизовывать или просто по БД-хотспота
Учителям повесил бы по 3..5 мегабит скорости, их в отдельный адресс-лист, чтобы в файерволле им разрешить ходить в служебную сеть
детям (trial-user) по 512 скорости и лимит 30мб в час (ибо в школе учиться надо, а не в контактах сидеть)и в отдельный адресс-лист, чтобы видели только интернет.
До кучи можно продолжить эксперимернты на детях. Запихнуть детей в прокси и позакрывать вредные сайты, или позакрывать все, оставив только сайты по учебе, сайт школы, электронный дневник и т.д.
Таким инетом дети пользоваться не будут, или будут не очень активно
----------------
Сеть можно вообще открытую делать ибо без хотспот-пароля это уже недоинтернет.
Если у учителя украдут пароль - по шапке учителю и выдать новый пароль
вобщем как-то так
я бы в вай-фай сети поднял отдельную подсеть и хотспот
учителям бы раздал логины и пароли, можно по-радиусу авторизовывать или просто по БД-хотспота
Учителям повесил бы по 3..5 мегабит скорости, их в отдельный адресс-лист, чтобы в файерволле им разрешить ходить в служебную сеть
детям (trial-user) по 512 скорости и лимит 30мб в час (ибо в школе учиться надо, а не в контактах сидеть)и в отдельный адресс-лист, чтобы видели только интернет.
До кучи можно продолжить эксперимернты на детях. Запихнуть детей в прокси и позакрывать вредные сайты, или позакрывать все, оставив только сайты по учебе, сайт школы, электронный дневник и т.д.
Таким инетом дети пользоваться не будут, или будут не очень активно
----------------
Сеть можно вообще открытую делать ибо без хотспот-пароля это уже недоинтернет.
Если у учителя украдут пароль - по шапке учителю и выдать новый пароль
вобщем как-то так
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь