Блокировка тех, кто ввёл IP вручную...

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Ответить
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Давным давно была тема, как можно заблокировать тех, кто ввёл IP вручную, а не получил его по DHCP, были примеры со громоздкими скриптами, но я для себя нашёл более рациональное решение.
Данное решение помимо того что блокирует всех кто ввёл IP руками, так ещё и даёт контроль доступа в интернет.

Итак, создаёт 2 правила в фаерволе:

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward comment="Drop !DHCP-Lease" in-interface=LAN-BRIDGE src-address-list=!DHCP-Lease
add action=drop chain=forward comment="Drop !DHCP-Lease" dst-address-list=!DHCP-Lease in-interface=WAN-PPPoE

Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.

Реализация не идеальная, но в 95% случаев со своей задачей справляется.
Удачи.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

В DHCP-server есть вот такая замечательная штука
lease-script (string; Default: ) Script that will be executed after lease is assigned or deassigned. Internal "global" variables that can be used in the script: leaseBound - set to "1" if bound, otherwise set to "0"
leaseServerName - dhcp server name
leaseActMAC - active mac address
leaseActIP - active IP address



Правда сколько раз я с ней пытался разобраться так ничего и не вышло. Хотя делал четко по описанию из мануала


Есть интересная задача и бюджет? http://mikrotik.site
Lord3D
Сообщения: 44
Зарегистрирован: 04 окт 2012, 12:39

Так ведь для этого существует режим ARP Reply-Only с добавлением DHCP-лизов в ARP-таблицу. По-моему, так проще и логичнее.


23q
Сообщения: 57
Зарегистрирован: 16 май 2013, 11:21

Lord3D писал(а):Так ведь для этого существует режим ARP Reply-Only с добавлением DHCP-лизов в ARP-таблицу. По-моему, так проще и логичнее.

в таком режиме клиент получает ip по dhcp и маршрутизатор не может смаршрутизировать его пока связка mac+ip не будет добавлена в arp вручную. а если поставить в свойствах сервера add arp for lesses он будет добавлять даже если стоит режим ARP Reply-Only?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

23q писал(а): а если поставить в свойствах сервера add arp for lesses он будет добавлять даже если стоит режим ARP Reply-Only?


да


Есть интересная задача и бюджет? http://mikrotik.site
maksim.kurilchenko
Сообщения: 2
Зарегистрирован: 16 фев 2018, 08:06

Dragon_Knight писал(а): 13 мар 2014, 16:07
Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.
Помогите пожалуйста, как быть в случае если адреса раздает сторонний DHCP в локальной сети, как сделать так чтобы Микротик пропускал по HTTP/HTTPS (протоколы не суть) только статические адреса по ARP таблице, которые закрепляются вручную?


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

maksim.kurilchenko писал(а): 16 фев 2018, 11:54
Dragon_Knight писал(а): 13 мар 2014, 16:07
Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.
Помогите пожалуйста, как быть в случае если адреса раздает сторонний DHCP в локальной сети, как сделать так чтобы Микротик пропускал по HTTP/HTTPS (протоколы не суть) только статические адреса по ARP таблице, которые закрепляются вручную?
Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.

На интерфейсе смотрящем в сеть - режим арта поставить replay only


maksim.kurilchenko
Сообщения: 2
Зарегистрирован: 16 фев 2018, 08:06

enzain писал(а): 16 фев 2018, 23:03

Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.
Не, мне надо только тем, за которыми статика закреплена.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

maksim.kurilchenko писал(а): 19 фев 2018, 07:05
enzain писал(а): 16 фев 2018, 23:03

Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.
Не, мне надо только тем, за которыми статика закреплена.
Ну значит только их и добавляйте в арп таблицу.


Ответить