Блокировка по MAC адресу

[gmx]

Коллеги!

Микротик RB2011 стоит в школе. В школе есть WiFi, сделан он на TP-Link. Микротик поднимает PPPoE и NAT, он же DCHP сервер.
То есть Микротик главный!

WiFi служебный. В основном подключены стационарные компы через WiFi USB девайсы.

Через пару месяцев пароль от WiFi узнали.......

Подскажите, как правильно и эффективно заблокировать особо активных пользователей???
Вот сейчас смотрю в таблице DHCP и вижу, что Микротик за последний час выдал 60!!! новых адресов для Андроидов. Срок аренды у меня 1 час, но все равно 60 левых подключений много.

Блокировать нужно по MAC-адресу.

Делать жесткую связку IP+MAC для рабочих компов - не вариант. Не то что бы это совсем не возможно, но просто учителя свои домашние ноуты в школу таскают, разве за всеми уследишь? А наиболее активных левых пользователей не так уж и много. Проще их по MAC заблокировать.


Спасибо

[simpl3x]

ну если вам надо отфильтровать чужие MAC адреса, то как то так:

Код: Выделить всё

ip firewall filter add src-mac-address=12:23:34:56:67:89 action=drop chain=forward

и на каждого злобного гения такое правило.

[gmx]

Спасибо!

Как думаете, сколько он таких правил потянет???

[plin2s]

Вообще правильнее развернуть Radius сервер и авторизовывать по MAC. От особо шаловливых но глупых спасет. С умными будет труднее.

[gmx]

Не на чем поднимать Radius.
Это надо сервер. На нормальный - денег не дадут, а колхозить самому как-то не хочется.
В простейшие проблемы упрется: кто его будет включать, после пропадания питания, где его поставить, чтобы был под присмотром, еще на ночь завхоз заставит выключать и так далее...

[simpl3x]

http://wiki.mikrotik.com/wiki/Manual:User_Manager
вы почитайте, может быть это вам поможет.

Как думаете, сколько он таких правил потянет???

сколько то потянет. суть в том, что это не верный подход, так блокировать каждого может надоесть. это ж надо следить,выявлять,создавать правила.правильно, когда авторизацию настроите, например каждому учителю свой персональный пароль, с ограничением в одну активную авторизацию. и все. у людей по двум причинам будет меньше желания раздавать пароли.

[podarok66]

А я бы не парился, число легитимных юзеров в школе достаточно небольшое. Делаем их Make Static в DHSP server -> Leases, затем ограничиваем пул именно этими адресами. И всё. Панацеей конечно не будет, но большинство левых отсеет.

[gmx]

Спасибо, коллеги!

Этот учебный год дотяну. Я там наездной!
Проблему сейчас оперативно решу через фаерволл, а там будет видно.

[plin2s]

Вариант с dhcp не сильно поможет. Узнать диапозон адресов учительских компьютеров не составит труда, а вбить адрес вручную тоже не проблема.
Я бы на вашем месте пошел от обратного. Фаерволом запретить все, кроме известных MAC-ов, а там уж смотреть насколько умные нарушители окажутся.

[iSupport]

Дети нынче очень и очень грамотные пошли, обучаются обходить запреты быстрее чем мы их создаем

я бы в вай-фай сети поднял отдельную подсеть и хотспот

учителям бы раздал логины и пароли, можно по-радиусу авторизовывать или просто по БД-хотспота
Учителям повесил бы по 3..5 мегабит скорости, их в отдельный адресс-лист, чтобы в файерволле им разрешить ходить в служебную сеть

детям (trial-user) по 512 скорости и лимит 30мб в час (ибо в школе учиться надо, а не в контактах сидеть)и в отдельный адресс-лист, чтобы видели только интернет.

До кучи можно продолжить эксперимернты на детях. Запихнуть детей в прокси и позакрывать вредные сайты, или позакрывать все, оставив только сайты по учебе, сайт школы, электронный дневник и т.д.

Таким инетом дети пользоваться не будут, или будут не очень активно

----------------
Сеть можно вообще открытую делать ибо без хотспот-пароля это уже недоинтернет.

Если у учителя украдут пароль - по шапке учителю и выдать новый пароль

вобщем как-то так