Всем привет!
Имеется несколько подсетей..
1. 192.168.1.0/24
2. 192.168.2.0/24
3. 192.168.3.0/24
Настроен DHCP сервер с пулом(192.168.2.2-192.168.2.254). в остальные сетки прописана только статика.
Всё отлично работает, но.. На клиенте можно прописать IP руками и попасть в любую подсеть..
Как в сетке х.х.1.0/24 и х.х.3.0/24 разрешить появляться только прописанным мной устройствам и запретить всем остальным.
PS. понимаю, что мак можно клонировать и попасть в любую сеть.. но пока для меня это не важно.
Спасибо!
DHCP setup или правила firewall ?
-
- Сообщения: 2359
- Зарегистрирован: 06 фев 2011, 20:44
смотрите, если у вас на прописана ручками например подсеть 192.168.1.0/24
то в остальные подсети человек ходит через роутер
в роутере делаем ip firewall adress-list, например ALLOW_ALL
в него заносим IP тех, кому можно ходить везде
по остальным правило
ip firewall chain=forward src-adress list=!ALLOW_ALL dst-adress=192.168.0.0/16 action=drop
то есть для тех, кто не в адресс-листе нельзя ходить в соседние подсети.
В подсеть 192.168.1.0\24 он все равно сможет ходить, так как тут роутер не учавствует, а пакеты летят через коммутатор
то в остальные подсети человек ходит через роутер
в роутере делаем ip firewall adress-list, например ALLOW_ALL
в него заносим IP тех, кому можно ходить везде
по остальным правило
ip firewall chain=forward src-adress list=!ALLOW_ALL dst-adress=192.168.0.0/16 action=drop
то есть для тех, кто не в адресс-листе нельзя ходить в соседние подсети.
В подсеть 192.168.1.0\24 он все равно сможет ходить, так как тут роутер не учавствует, а пакеты летят через коммутатор
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Тут скорее вам надо средствами операционной системы запрещать менять сетевые настройки. Даже если вы сделаете выдачу настроек по DHCP и создадите на микротике статические записи по MAC адресу, то человек всегда сможет выставить ip вручную.
-
- Модератор
- Сообщения: 3348
- Зарегистрирован: 01 окт 2012, 14:48
-
- Сообщения: 28
- Зарегистрирован: 12 фев 2013, 12:25
Огромное спасибо за советы!
Сейчас буду изучать.. Как всё получится, напишу сюда решение.. может кому пригодится.
Сейчас буду изучать.. Как всё получится, напишу сюда решение.. может кому пригодится.
-
- Сообщения: 28
- Зарегистрирован: 12 фев 2013, 12:25
Добрый день, бьюсь уже третий день, не могу понять как правильно настроить подсети.
Описание:
От рутера к свичу подключние идет через один порт. На VLAN'ы не поделить т.к. свичи этого не умеют.
Сеть разделена на 3 подсети. В первой сервера, принтеры. Во второй все зарегистрированные пользователи, с которых
собраны их MАКи. В третью сетку ты можешь попасть если DHCP сервер не знает твой MAK. (в основном тут мобильники)
Всe статические (в сети 192.168.2.0/24) IP поделены на группы, им прописана скорость(queue tree) и определённые
доступы к принтерам, серверам.. На третью сеть стоит общее правило по скорости.
Проблема:
Человек прописывает свой IP вручную (к примеру 192.168.1.100), попадает в первую подсеть и общается с серваками напрямую
через switch.. т.е. никакие правила firewall'а на него не действуют.
Задача:
При запросе IP адреса клиентом, проверять прописанные МАС'и и IP. Если соответствий нет, не выдавать IP.
С Уважением,
Виталий.
PS. Для наглядности нарисовал упрощенные схемы сети.
Описание:
От рутера к свичу подключние идет через один порт. На VLAN'ы не поделить т.к. свичи этого не умеют.
Сеть разделена на 3 подсети. В первой сервера, принтеры. Во второй все зарегистрированные пользователи, с которых
собраны их MАКи. В третью сетку ты можешь попасть если DHCP сервер не знает твой MAK. (в основном тут мобильники)
Всe статические (в сети 192.168.2.0/24) IP поделены на группы, им прописана скорость(queue tree) и определённые
доступы к принтерам, серверам.. На третью сеть стоит общее правило по скорости.
Проблема:
Человек прописывает свой IP вручную (к примеру 192.168.1.100), попадает в первую подсеть и общается с серваками напрямую
через switch.. т.е. никакие правила firewall'а на него не действуют.
Задача:
При запросе IP адреса клиентом, проверять прописанные МАС'и и IP. Если соответствий нет, не выдавать IP.
С Уважением,
Виталий.
PS. Для наглядности нарисовал упрощенные схемы сети.
- Вложения
-
- network.jpg (13.3 КБ) 4466 просмотров
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Вы сами ответили на свой вопрос. Человек прописывает адрес вручную, а не получает его по DHCP. Соответственно роутер никак не может повлиять на его настройки.
Есть умные свичи, которые умеют port security (например cisco). Извращаясь с правилами можно запретить обращения от "чужих" ip адресов с данного порта. Так что варианта два - либо вы запрещаете смену ip на уровне ОС/софта, либо блокируете пакеты на уровне свича.
Есть умные свичи, которые умеют port security (например cisco). Извращаясь с правилами можно запретить обращения от "чужих" ip адресов с данного порта. Так что варианта два - либо вы запрещаете смену ip на уровне ОС/софта, либо блокируете пакеты на уровне свича.
-
- Сообщения: 28
- Зарегистрирован: 12 фев 2013, 12:25
plin2s писал(а):Вы сами ответили на свой вопрос......
Эх.. понятно.
В любом случае, спасибо за объяснение.