Фильтрация по Mac-адресу

Обсуждение ПО и его настройки
Ответить
Safgan
Сообщения: 8
Зарегистрирован: 31 мар 2017, 15:46

27 июн 2020, 14:51

Всем привет :-): ...

Есть система видеонаблюдение, которое постоянно смотрят с разных устройств. Сразу появляется проблема в бруте :ny_tik: Проблема конечно решается бан листом, но в данный лист могут попасть нужные ip адреса, статику прописывать не вариант, так как на телефонах они меняются... Есть одна мысль сделать "белый лист"и прописать мак адреса (телефонов, компьютеров и т.д)для пропуска к оборудованию.
Подскажите, куда копать.
Спасибо огромное.


xvo
Сообщения: 907
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

27 июн 2020, 15:07

У вас всё это в одной подсети: и камеры и смотрящие?


Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [cAP ac]...
...[hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]
Safgan
Сообщения: 8
Зарегистрирован: 31 мар 2017, 15:46

27 июн 2020, 15:23

Разные подсети, камеры в одной подсети, главный офис другая подсеть, все соединяет VPN. Смотрящие идут к камерам из вне. VPN на телефон ставить не вариант, так как большие дядьки не поймут для чего это..


xvo
Сообщения: 907
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

27 июн 2020, 15:31

Ну а какая тогда может быть фильтрация по MAC-адресу если смотрящие идут извне?


Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [cAP ac]...
...[hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2499
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

27 июн 2020, 18:43

(мысль: я так и не понял что означает слово "в бруте")
Safgan писал(а):
27 июн 2020, 15:23
Разные подсети, камеры в одной подсети, главный офис другая подсеть, все соединяет VPN. Смотрящие идут к камерам из вне. VPN на телефон ставить не вариант, так как большие дядьки не поймут для чего это..
1) попросите у провайдера дополнительный адрес, не афишируйте его!
2) настройте доступ через этот адрес на клиентах (на смартфонах)
2.1) я бы и порты доступа сменил на нестандартные.
2.2) можно "резать" или отключать адрес/доступ и ограничивать тех, кто пришёл со смартфонов.
2.2.1) можно в правиле проброса настроить время, и автоматически отключать доступ к видео.
2.3) схема с отдельным адресом, да ещё и для телефонов удобно, что этот адрес для всех (для всего мира),
а уже основной адрес внешний - оставить для совсем избранных, или для доступа в рамках
города, местных локальных провайдеров, и/или их сетей.
3) также другой вопрос, если доступ даёте, значит это надо, а если видеонаблюдение
не выдерживает (предполагаю, я ж так и не понял что означает то слово), то
тогда или ограничивать "левых", или расширять мощность видеорегистратора.
3.1) контролировать видеонаблюдение - это полезно делать (хотя бы даже иногда), у меня видеотрафик
бывает до 100-150мбит подскакивает (на центральном узле в совокупе при некоторых обстоятельствах).
3.2) был любитель один, включал и смотрел по долгу, и предполагаю смотрел основной
поток камер (где хорошее качество), скорости на его комп были максимальные,
пришлось втихаря "резать" ему скорость локальную.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Safgan
Сообщения: 8
Зарегистрирован: 31 мар 2017, 15:46

27 июн 2020, 21:32

Vlad-2 писал(а):
27 июн 2020, 18:43
(мысль: я так и не понял что означает слово "в бруте")
Safgan писал(а):
27 июн 2020, 15:23
Разные подсети, камеры в одной подсети, главный офис другая подсеть, все соединяет VPN. Смотрящие идут к камерам из вне. VPN на телефон ставить не вариант, так как большие дядьки не поймут для чего это..
1) попросите у провайдера дополнительный адрес, не афишируйте его!
2) настройте доступ через этот адрес на клиентах (на смартфонах)
2.1) я бы и порты доступа сменил на нестандартные.
2.2) можно "резать" или отключать адрес/доступ и ограничивать тех, кто пришёл со смартфонов.
2.2.1) можно в правиле проброса настроить время, и автоматически отключать доступ к видео.
2.3) схема с отдельным адресом, да ещё и для телефонов удобно, что этот адрес для всех (для всего мира),
а уже основной адрес внешний - оставить для совсем избранных, или для доступа в рамках
города, местных локальных провайдеров, и/или их сетей.
3) также другой вопрос, если доступ даёте, значит это надо, а если видеонаблюдение
не выдерживает (предполагаю, я ж так и не понял что означает то слово), то
тогда или ограничивать "левых", или расширять мощность видеорегистратора.
3.1) контролировать видеонаблюдение - это полезно делать (хотя бы даже иногда), у меня видеотрафик
бывает до 100-150мбит подскакивает (на центральном узле в совокупе при некоторых обстоятельствах).
3.2) был любитель один, включал и смотрел по долгу, и предполагаю смотрел основной
поток камер (где хорошее качество), скорости на его комп были максимальные,
пришлось втихаря "резать" ему скорость локальную.

Спасибо за советы, по поводу отдельного ip даже не думал. :co_ol:


Ответить