Russian Users MikroTik | Форум пользователей MikroTik

Добрый день форумчане!
Подскажите пожалуйста, можно ли каким то образом конкретному хосту выключить выдачу IP адресу от DHCP сервера?
То есть я вижу в таблице какие у меня хосты получают IP адрес автоматически, и я хочу конкретному хосту в данный момент выключить подключение к сети.
Как мне это сделать?
Спасибо.

Самое простое и правильно, если прям выключить вообще, вам нужен умный свич, на котором вы просто погасите порт когда это будет нужно, но его скорее всего нет и поэтому если клиент уже получил адрес, то никак, он будет с ним пока не истечет время аренды, или пока сам клиент не отдаст адрес например в следствии перезагрузки. Если клиентов не много, то можно убрать пул адресов и всем руками прописать какой адрес кому достается, а "интересному" клиенту включать и выключать выдачу по требованию, но повторюсь, если он получил адрес и если он еще и подключен не напрямую в микротик а через какой-то свич-свичи, то сделать вы ничего не сможете кроме как пойти и вырвать кабель из тупого свича или устройства клиента.
Если речь идет о вайфае то у него есть "аксес лист" куда можно добавить мак устройства и сказать что данному маку запрещено подключаться.

Возможно, сам подход не слишком корректен. Вам для чего это надо? Что вы хотите запретить данному хосту?
Возможно есть другие пути для достижения цели?

Спасибо коллеги за советы!
Вообще мне нужно некоторым хостам запрещать либо выход в интернет либо доступ к внутренним ресурсам сети.
Умного свитча нет. И клиенты естественно подключены через обычный свитч, к порту микротика.

К локальным ресурсам они будут ходить напрямую через свитч.
Для ограничения доступа в инет в forward правило для доступа к инету повесьте address list

reevvz писал(а): ↑20 май 2020, 14:05 Спасибо коллеги за советы!
Вообще мне нужно некоторым хостам запрещать либо выход в интернет либо доступ к внутренним ресурсам сети.
Умного свитча нет. И клиенты естественно подключены через обычный свитч, к порту микротика.

Так, если выход в интернет, то просто включить NAT только для отдельного списка адресов. Связка статиков DHCP->Lease и IP->ARP привяжет MAC к IP-адресу.
Если запретить доступ к локальным ресурсам, тогда в бридже есть вкладка Filters, вот там можно попробовать запретить ходить в локалку, но работать нужно аккуратно, с оглядкой. Дабы не закрыть всё и совсем. Но это очень неправильно с админской точки зрения. Лучше таким хостам вообще выдавать адреса не из общего пула. Тогда можно все описать значительно правильнее.

Может быть мой ответ покажется глупым, но я бы на другом оборудовании (микротики очень плохо знаю) попробовал бы реализовать что-то следующее:
1. Те устройства, которым нужно запретить доступ в локальную сеть засунуть в DMZ - по логике вещей, доступ в интернет будет, а разрешать какой трафик из DMZ в лан - решать Вам.
2. Тем устройствам, которым нужно запретить доступ в интернет я бы просто выдал адреса из определённого списка и адреса из этого списка не пускал дальше микротика.
Мне кажется оба предложения можно +- реализовать и на РОС.
Кстати, сразу вопрос к знатокам - как на РОС настроить DMZ - что-то не попалась на глаза настройка.

1) я бы всё таки посоветовал ТС определиться, если клиент законный, адрес ему положено выдать,
иначе сетевые компоненты и другое ПО на компьютере может ругаться.
Это всё равно что гостям запрещать пользоваться водой, туалетом. Поэтому адресацию надо давать.
(я так считаю).

2) Так как мы узнали что причина банальна, надо лимитировать/ограничить Интернет, то пользователь imaoskol
дал правильное направление. У меня это сделано в НАТе через специальный адрес-лист,
кому НАТ для Интернета запрещён, но в тоже время по доп-офисам и прочим сетям - пожалуйста.