Блокировка по MAC адресу

Обсуждение оборудования и его настройки
gmx
Сообщения: 2317
Зарегистрирован: 01 окт 2012, 14:48

07 фев 2013, 13:18

Коллеги!

Микротик RB2011 стоит в школе. В школе есть WiFi, сделан он на TP-Link. Микротик поднимает PPPoE и NAT, он же DCHP сервер.
То есть Микротик главный! :)

WiFi служебный. В основном подключены стационарные компы через WiFi USB девайсы.

Через пару месяцев пароль от WiFi узнали.......

Подскажите, как правильно и эффективно заблокировать особо активных пользователей???
Вот сейчас смотрю в таблице DHCP и вижу, что Микротик за последний час выдал 60!!! новых адресов для Андроидов. Срок аренды у меня 1 час, но все равно 60 левых подключений много.

Блокировать нужно по MAC-адресу.

Делать жесткую связку IP+MAC для рабочих компов - не вариант. Не то что бы это совсем не возможно, но просто учителя свои домашние ноуты в школу таскают, разве за всеми уследишь? А наиболее активных левых пользователей не так уж и много. Проще их по MAC заблокировать.


Спасибо


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

07 фев 2013, 13:32

ну если вам надо отфильтровать чужие MAC адреса, то как то так:

Код: Выделить всё

ip firewall filter add src-mac-address=12:23:34:56:67:89 action=drop chain=forward


и на каждого злобного гения такое правило.


gmx
Сообщения: 2317
Зарегистрирован: 01 окт 2012, 14:48

07 фев 2013, 15:26

Спасибо!

Как думаете, сколько он таких правил потянет???


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

07 фев 2013, 15:50

Вообще правильнее развернуть Radius сервер и авторизовывать по MAC. От особо шаловливых но глупых спасет. С умными будет труднее.


gmx
Сообщения: 2317
Зарегистрирован: 01 окт 2012, 14:48

07 фев 2013, 16:01

Не на чем поднимать Radius.
Это надо сервер. На нормальный - денег не дадут, а колхозить самому как-то не хочется.
В простейшие проблемы упрется: кто его будет включать, после пропадания питания, где его поставить, чтобы был под присмотром, еще на ночь завхоз заставит выключать и так далее...


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

07 фев 2013, 16:14

http://wiki.mikrotik.com/wiki/Manual:User_Manager
вы почитайте, может быть это вам поможет.

Как думаете, сколько он таких правил потянет???

сколько то потянет. суть в том, что это не верный подход, так блокировать каждого может надоесть. это ж надо следить,выявлять,создавать правила.правильно, когда авторизацию настроите, например каждому учителю свой персональный пароль, с ограничением в одну активную авторизацию. и все. у людей по двум причинам будет меньше желания раздавать пароли.


Аватара пользователя
podarok66
Модератор
Сообщения: 3825
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

07 фев 2013, 19:52

А я бы не парился, число легитимных юзеров в школе достаточно небольшое. Делаем их Make Static в DHSP server -> Leases, затем ограничиваем пул именно этими адресами. И всё. Панацеей конечно не будет, но большинство левых отсеет.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
gmx
Сообщения: 2317
Зарегистрирован: 01 окт 2012, 14:48

08 фев 2013, 17:07

Спасибо, коллеги!

Этот учебный год дотяну. Я там наездной!
Проблему сейчас оперативно решу через фаерволл, а там будет видно.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

08 фев 2013, 20:47

Вариант с dhcp не сильно поможет. Узнать диапозон адресов учительских компьютеров не составит труда, а вбить адрес вручную тоже не проблема.
Я бы на вашем месте пошел от обратного. Фаерволом запретить все, кроме известных MAC-ов, а там уж смотреть насколько умные нарушители окажутся.


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

09 фев 2013, 11:08

Дети нынче очень и очень грамотные пошли, обучаются обходить запреты быстрее чем мы их создаем

я бы в вай-фай сети поднял отдельную подсеть и хотспот

учителям бы раздал логины и пароли, можно по-радиусу авторизовывать или просто по БД-хотспота
Учителям повесил бы по 3..5 мегабит скорости, их в отдельный адресс-лист, чтобы в файерволле им разрешить ходить в служебную сеть

детям (trial-user) по 512 скорости и лимит 30мб в час (ибо в школе учиться надо, а не в контактах сидеть)и в отдельный адресс-лист, чтобы видели только интернет.

До кучи можно продолжить эксперимернты на детях. Запихнуть детей в прокси и позакрывать вредные сайты, или позакрывать все, оставив только сайты по учебе, сайт школы, электронный дневник и т.д.

Таким инетом дети пользоваться не будут, или будут не очень активно

----------------
Сеть можно вообще открытую делать ибо без хотспот-пароля это уже недоинтернет.

Если у учителя украдут пароль - по шапке учителю и выдать новый пароль

вобщем как-то так


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить