дроп по MAC-адресу

Обсуждение оборудования и его настройки
Ответить
nikolay
Сообщения: 2
Зарегистрирован: 06 мар 2012, 13:52

Добрый день! Есть микротик RB1100. На нем подняты 2 PPPoE (для Ethernet и ADSL) и PPTP, авторизация через радиус сервер на linux-машине. Проблема в следующем: кто-то из абонентов переодически подключает к нашей линии модем настроенный для подключения к другому провайдеру. Этот модем гадит в логи каждые 4 секунды. Как отсекать все пакеты от него по мак-адресу?
Делаю новое правило с маком виртуалки в фаерволе, чтобы пакеты не проходили на радиус сервер:
5 ;;;
chain=forward action=drop src-mac-address=08:00:27:02:0F:E6
в итоге я с виртуалки подключаюсь без проблем по PPPoE.
что я делаю не так?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

как бы сказать..... MAC адреса работают на L2, а файрвол на L3 ( то есть другом уровне модели OSI)


к вашей задаче больше подойдет switch - rule


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
nikolay
Сообщения: 2
Зарегистрирован: 06 мар 2012, 13:52

Спасибо! Пока решил проблему следующим образом:
/interface ethernet switch rule> print

1 switch=switch2 ports=eth2
src-mac-address=00:21:91:85:DC:C8/FF:FF:FF:FF:FF:FF copy-to-cpu=no
redirect-to-cpu=no mirror=no new-dst-ports=eth3
Сейчас я кидаю эти пакеты на порт, который тоже используется.
Пакеты до Радиус-сервера не доходят.
Есть ли более правильное решение?


Ответить