Безопасность маршрутизатора.

[kriostar]

Возник небольшой вопрос вопрос по безопасности. Есть утилита winbox, напомню, в этой утилите есть возможность сканирования сети на наличие устройств микротик. Сканирует она mac-id, ip, ver. и само железо. В IP-Services можно задать адрес с которого будет возможен доступ. По IP доступ режется, а вот по мак всё равно пускает. Вот и собственно вопрос как сделать, что бы юзеры не имели возможность сканировать сеть winbox-ом и делать попытки подключиться винбохом. Может залочить порт утилиты? Или есть более красивое решение?

[kriostar]

Вобще бы замечательно вывести управление на отдельный интерфейс, но как сделать.

[lav1]

ограничение с айпи с которых можно подключиться. залочить подключение в микротику на всех изернетах, оставить на бридже а дост к бриджу через впн.
ну так вот сходу пару вариантов )

[kriostar]

ограничение с айпи с которых можно подключиться, я сделал, но проблема что светит мак-ом к ктр. можно подключиться. Может попробовать увести управление в другую сеть?

залочить подключение в микротику на всех изернетах

Поподробнее можно?

[kriostar]

А на скрине выше при выключенном сервисе Winbox на микротик происходит подключение с чуждого IP.

[kriostar]

А нашел всё просто как два пальца... Заходим в Tools далее находим MAC Server создаем на вкладках предпочитаемый интерфейс, (отдельный, у нас же конфиденциальное руление) "all" выключить, ну и все. Я лично на интерфейс повесил DHCP и предпочитаемый IP to MAC-id в Make static. Все. Всем спасибо.

[plin2s]

Еще это можно решить добавлением chain=input с нужным правилами в фаервол.

[kriostar]

Plin2s, расскажите, если можно то код для общей справки.