Безопасность маршрутизатора.

Обсуждение ПО и его настройки
Ответить
kriostar
Сообщения: 52
Зарегистрирован: 26 фев 2013, 16:59

06 апр 2013, 14:41

Возник небольшой вопрос вопрос по безопасности. Есть утилита winbox, напомню, в этой утилите есть возможность сканирования сети на наличие устройств микротик. Сканирует она mac-id, ip, ver. и само железо. В IP-Services можно задать адрес с которого будет возможен доступ. По IP доступ режется, а вот по мак всё равно пускает. Вот и собственно вопрос как сделать, что бы юзеры не имели возможность сканировать сеть winbox-ом и делать попытки подключиться винбохом. Может залочить порт утилиты? Или есть более красивое решение?


kriostar
Сообщения: 52
Зарегистрирован: 26 фев 2013, 16:59

06 апр 2013, 14:49

Вобще бы замечательно вывести управление на отдельный интерфейс, но как сделать.


lav1
Сообщения: 51
Зарегистрирован: 11 апр 2011, 10:58

07 апр 2013, 18:46

ограничение с айпи с которых можно подключиться. залочить подключение в микротику на всех изернетах, оставить на бридже а дост к бриджу через впн.
ну так вот сходу пару вариантов )


kriostar
Сообщения: 52
Зарегистрирован: 26 фев 2013, 16:59

07 апр 2013, 20:43

ограничение с айпи с которых можно подключиться, я сделал, но проблема что светит мак-ом к ктр. можно подключиться. Может попробовать увести управление в другую сеть?

lav1 писал(а):залочить подключение в микротику на всех изернетах

Поподробнее можно?
Вложения
Services.JPG
Пример.
Services.JPG (54.91 КБ) 1851 просмотр


kriostar
Сообщения: 52
Зарегистрирован: 26 фев 2013, 16:59

07 апр 2013, 20:55

А на скрине выше при выключенном сервисе Winbox на микротик происходит подключение с чуждого IP.


kriostar
Сообщения: 52
Зарегистрирован: 26 фев 2013, 16:59

07 апр 2013, 22:03

А нашел всё просто как два пальца... Заходим в Tools далее находим MAC Server создаем на вкладках предпочитаемый интерфейс, (отдельный, у нас же конфиденциальное руление) "all" выключить, ну и все. Я лично на интерфейс повесил DHCP и предпочитаемый IP to MAC-id в Make static. Все. Всем спасибо.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

08 апр 2013, 06:44

Еще это можно решить добавлением chain=input с нужным правилами в фаервол.


kriostar
Сообщения: 52
Зарегистрирован: 26 фев 2013, 16:59

08 апр 2013, 08:48

Plin2s, расскажите, если можно то код для общей справки.


Ответить