Страница 1 из 3
Блокировка по MAC адресу
Добавлено: 07 фев 2013, 13:18
gmx
Коллеги!
Микротик RB2011 стоит в школе. В школе есть WiFi, сделан он на TP-Link. Микротик поднимает PPPoE и NAT, он же DCHP сервер.
То есть Микротик главный!
WiFi служебный. В основном подключены стационарные компы через WiFi USB девайсы.
Через пару месяцев пароль от WiFi узнали.......
Подскажите, как правильно и эффективно заблокировать особо активных пользователей???
Вот сейчас смотрю в таблице DHCP и вижу, что Микротик за последний час выдал 60!!! новых адресов для Андроидов. Срок аренды у меня 1 час, но все равно 60 левых подключений много.
Блокировать нужно по MAC-адресу.
Делать жесткую связку IP+MAC для рабочих компов - не вариант. Не то что бы это совсем не возможно, но просто учителя свои домашние ноуты в школу таскают, разве за всеми уследишь? А наиболее активных левых пользователей не так уж и много. Проще их по MAC заблокировать.
Спасибо
Re: Блокировка по MAC адресу
Добавлено: 07 фев 2013, 13:32
simpl3x
ну если вам надо отфильтровать чужие MAC адреса, то как то так:
Код: Выделить всё
ip firewall filter add src-mac-address=12:23:34:56:67:89 action=drop chain=forward
и на каждого злобного гения такое правило.
Re: Блокировка по MAC адресу
Добавлено: 07 фев 2013, 15:26
gmx
Спасибо!
Как думаете, сколько он таких правил потянет???
Re: Блокировка по MAC адресу
Добавлено: 07 фев 2013, 15:50
plin2s
Вообще правильнее развернуть Radius сервер и авторизовывать по MAC. От особо шаловливых но глупых спасет. С умными будет труднее.
Re: Блокировка по MAC адресу
Добавлено: 07 фев 2013, 16:01
gmx
Не на чем поднимать Radius.
Это надо сервер. На нормальный - денег не дадут, а колхозить самому как-то не хочется.
В простейшие проблемы упрется: кто его будет включать, после пропадания питания, где его поставить, чтобы был под присмотром, еще на ночь завхоз заставит выключать и так далее...
Re: Блокировка по MAC адресу
Добавлено: 07 фев 2013, 16:14
simpl3x
http://wiki.mikrotik.com/wiki/Manual:User_Managerвы почитайте, может быть это вам поможет.
Как думаете, сколько он таких правил потянет???
сколько то потянет. суть в том, что это не верный подход, так блокировать каждого может надоесть. это ж надо следить,выявлять,создавать правила.правильно, когда авторизацию настроите, например каждому учителю свой персональный пароль, с ограничением в одну активную авторизацию. и все. у людей по двум причинам будет меньше желания раздавать пароли.
Re: Блокировка по MAC адресу
Добавлено: 07 фев 2013, 19:52
podarok66
А я бы не парился, число легитимных юзеров в школе достаточно небольшое. Делаем их Make Static в DHSP server -> Leases, затем ограничиваем пул именно этими адресами. И всё. Панацеей конечно не будет, но большинство левых отсеет.
Re: Блокировка по MAC адресу
Добавлено: 08 фев 2013, 17:07
gmx
Спасибо, коллеги!
Этот учебный год дотяну. Я там наездной!
Проблему сейчас оперативно решу через фаерволл, а там будет видно.
Re: Блокировка по MAC адресу
Добавлено: 08 фев 2013, 20:47
plin2s
Вариант с dhcp не сильно поможет. Узнать диапозон адресов учительских компьютеров не составит труда, а вбить адрес вручную тоже не проблема.
Я бы на вашем месте пошел от обратного. Фаерволом запретить все, кроме известных MAC-ов, а там уж смотреть насколько умные нарушители окажутся.
Re: Блокировка по MAC адресу
Добавлено: 09 фев 2013, 11:08
iSupport
Дети нынче очень и очень грамотные пошли, обучаются обходить запреты быстрее чем мы их создаем
я бы в вай-фай сети поднял отдельную подсеть и хотспот
учителям бы раздал логины и пароли, можно по-радиусу авторизовывать или просто по БД-хотспота
Учителям повесил бы по 3..5 мегабит скорости, их в отдельный адресс-лист, чтобы в файерволле им разрешить ходить в служебную сеть
детям (trial-user) по 512 скорости и лимит 30мб в час (ибо в школе учиться надо, а не в контактах сидеть)и в отдельный адресс-лист, чтобы видели только интернет.
До кучи можно продолжить эксперимернты на детях. Запихнуть детей в прокси и позакрывать вредные сайты, или позакрывать все, оставив только сайты по учебе, сайт школы, электронный дневник и т.д.
Таким инетом дети пользоваться не будут, или будут не очень активно
----------------
Сеть можно вообще открытую делать ибо без хотспот-пароля это уже недоинтернет.
Если у учителя украдут пароль - по шапке учителю и выдать новый пароль
вобщем как-то так