DHCP setup или правила firewall ?

Обсуждение ПО и его настройки
Ответить
vitaly
Сообщения: 28
Зарегистрирован: 12 фев 2013, 12:25

19 фев 2013, 10:46

Всем привет!

Имеется несколько подсетей..
1. 192.168.1.0/24
2. 192.168.2.0/24
3. 192.168.3.0/24

Настроен DHCP сервер с пулом(192.168.2.2-192.168.2.254). в остальные сетки прописана только статика.

Всё отлично работает, но.. На клиенте можно прописать IP руками и попасть в любую подсеть..
Как в сетке х.х.1.0/24 и х.х.3.0/24 разрешить появляться только прописанным мной устройствам и запретить всем остальным.

PS. понимаю, что мак можно клонировать и попасть в любую сеть.. но пока для меня это не важно.

Спасибо!


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

19 фев 2013, 22:44

смотрите, если у вас на прописана ручками например подсеть 192.168.1.0/24

то в остальные подсети человек ходит через роутер

в роутере делаем ip firewall adress-list, например ALLOW_ALL

в него заносим IP тех, кому можно ходить везде

по остальным правило
ip firewall chain=forward src-adress list=!ALLOW_ALL dst-adress=192.168.0.0/16 action=drop

то есть для тех, кто не в адресс-листе нельзя ходить в соседние подсети.

В подсеть 192.168.1.0\24 он все равно сможет ходить, так как тут роутер не учавствует, а пакеты летят через коммутатор


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

20 фев 2013, 08:08

Тут скорее вам надо средствами операционной системы запрещать менять сетевые настройки. Даже если вы сделаете выдачу настроек по DHCP и создадите на микротике статические записи по MAC адресу, то человек всегда сможет выставить ip вручную.


gmx
Сообщения: 2317
Зарегистрирован: 01 окт 2012, 14:48

20 фев 2013, 08:17

А вот еще...
viewtopic.php?f=1&t=1403


vitaly
Сообщения: 28
Зарегистрирован: 12 фев 2013, 12:25

20 фев 2013, 11:18

Огромное спасибо за советы!
Сейчас буду изучать.. Как всё получится, напишу сюда решение.. может кому пригодится.


vitaly
Сообщения: 28
Зарегистрирован: 12 фев 2013, 12:25

21 фев 2013, 13:48

Добрый день, бьюсь уже третий день, не могу понять как правильно настроить подсети.

Описание:
От рутера к свичу подключние идет через один порт. На VLAN'ы не поделить т.к. свичи этого не умеют.

Сеть разделена на 3 подсети. В первой сервера, принтеры. Во второй все зарегистрированные пользователи, с которых
собраны их MАКи. В третью сетку ты можешь попасть если DHCP сервер не знает твой MAK. (в основном тут мобильники)
Всe статические (в сети 192.168.2.0/24) IP поделены на группы, им прописана скорость(queue tree) и определённые
доступы к принтерам, серверам.. На третью сеть стоит общее правило по скорости.

Проблема:
Человек прописывает свой IP вручную (к примеру 192.168.1.100), попадает в первую подсеть и общается с серваками напрямую
через switch.. т.е. никакие правила firewall'а на него не действуют.

Задача:
При запросе IP адреса клиентом, проверять прописанные МАС'и и IP. Если соответствий нет, не выдавать IP.

С Уважением,
Виталий.

PS. Для наглядности нарисовал упрощенные схемы сети.
topologyNet.jpg
topologyNet.jpg (16.3 КБ) 2128 просмотров
Вложения
network.jpg
network.jpg (13.3 КБ) 2128 просмотров


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

21 фев 2013, 14:40

Вы сами ответили на свой вопрос. Человек прописывает адрес вручную, а не получает его по DHCP. Соответственно роутер никак не может повлиять на его настройки.
Есть умные свичи, которые умеют port security (например cisco). Извращаясь с правилами можно запретить обращения от "чужих" ip адресов с данного порта. Так что варианта два - либо вы запрещаете смену ip на уровне ОС/софта, либо блокируете пакеты на уровне свича.


vitaly
Сообщения: 28
Зарегистрирован: 12 фев 2013, 12:25

22 фев 2013, 11:43

plin2s писал(а):Вы сами ответили на свой вопрос......


Эх.. понятно.
В любом случае, спасибо за объяснение.


Ответить