Блокировка тех, кто ввёл IP вручную...

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Ответить
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1532
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

13 мар 2014, 16:07

Давным давно была тема, как можно заблокировать тех, кто ввёл IP вручную, а не получил его по DHCP, были примеры со громоздкими скриптами, но я для себя нашёл более рациональное решение.
Данное решение помимо того что блокирует всех кто ввёл IP руками, так ещё и даёт контроль доступа в интернет.

Итак, создаёт 2 правила в фаерволе:

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward comment="Drop !DHCP-Lease" in-interface=LAN-BRIDGE src-address-list=!DHCP-Lease
add action=drop chain=forward comment="Drop !DHCP-Lease" dst-address-list=!DHCP-Lease in-interface=WAN-PPPoE

Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.

Реализация не идеальная, но в 95% случаев со своей задачей справляется.
Удачи.



Помощь в ремонте и настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
vqd
Модератор
Сообщения: 3433
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

13 мар 2014, 19:53

В DHCP-server есть вот такая замечательная штука
lease-script (string; Default: ) Script that will be executed after lease is assigned or deassigned. Internal "global" variables that can be used in the script: leaseBound - set to "1" if bound, otherwise set to "0"
leaseServerName - dhcp server name
leaseActMAC - active mac address
leaseActIP - active IP address



Правда сколько раз я с ней пытался разобраться так ничего и не вышло. Хотя делал четко по описанию из мануала


Есть интересная задача и бюджет? http://mikrotik.site
Lord3D
Сообщения: 44
Зарегистрирован: 04 окт 2012, 12:39

05 сен 2014, 23:51

Так ведь для этого существует режим ARP Reply-Only с добавлением DHCP-лизов в ARP-таблицу. По-моему, так проще и логичнее.


23q
Сообщения: 57
Зарегистрирован: 16 май 2013, 11:21

24 июл 2015, 22:38

Lord3D писал(а):Так ведь для этого существует режим ARP Reply-Only с добавлением DHCP-лизов в ARP-таблицу. По-моему, так проще и логичнее.

в таком режиме клиент получает ip по dhcp и маршрутизатор не может смаршрутизировать его пока связка mac+ip не будет добавлена в arp вручную. а если поставить в свойствах сервера add arp for lesses он будет добавлять даже если стоит режим ARP Reply-Only?


vqd
Модератор
Сообщения: 3433
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

25 июл 2015, 10:40

23q писал(а): а если поставить в свойствах сервера add arp for lesses он будет добавлять даже если стоит режим ARP Reply-Only?


да


Есть интересная задача и бюджет? http://mikrotik.site
maksim.kurilchenko
Сообщения: 2
Зарегистрирован: 16 фев 2018, 08:06

16 фев 2018, 11:54

Dragon_Knight писал(а):
13 мар 2014, 16:07

Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.
Помогите пожалуйста, как быть в случае если адреса раздает сторонний DHCP в локальной сети, как сделать так чтобы Микротик пропускал по HTTP/HTTPS (протоколы не суть) только статические адреса по ARP таблице, которые закрепляются вручную?


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

16 фев 2018, 23:03

maksim.kurilchenko писал(а):
16 фев 2018, 11:54
Dragon_Knight писал(а):
13 мар 2014, 16:07

Думаю комментировать смысла нету, но если вдруг.... Эти правила дропают все пакеты, если адрес отправителя\получателя не находиться в адрес-листе DHCP-Lease.
Дальше достаточно зайди в DHCP-Server, сделать запись статичной (статичный IP) и дописать Address List: DHCP-Lease.
После этого данное устройство будет свободно ходить в интернет.
Помогите пожалуйста, как быть в случае если адреса раздает сторонний DHCP в локальной сети, как сделать так чтобы Микротик пропускал по HTTP/HTTPS (протоколы не суть) только статические адреса по ARP таблице, которые закрепляются вручную?
Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.

На интерфейсе смотрящем в сеть - режим арта поставить replay only


maksim.kurilchenko
Сообщения: 2
Зарегистрирован: 16 фев 2018, 08:06

19 фев 2018, 07:05

enzain писал(а):
16 фев 2018, 23:03


Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.
Не, мне надо только тем, за которыми статика закреплена.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

19 фев 2018, 09:19

maksim.kurilchenko писал(а):
19 фев 2018, 07:05
enzain писал(а):
16 фев 2018, 23:03


Можно сделать чтоб в он в принципе отвечал только тем кто в арп таблице есть.
Не, мне надо только тем, за которыми статика закреплена.
Ну значит только их и добавляйте в арп таблицу.


Ответить