Re: Запрет сканирования локальной сети.
Добавлено: 06 сен 2013, 08:25
Russian Users MikroTik | Форум пользователей MikroTik
Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/
Запрет сканирования локальной сети.
Страница 2 из 2
Re: Запрет сканирования локальной сети.
Добавлено: 06 сен 2013, 09:40
Значит никак, нужен управляемый коммутатор...
Re: Запрет сканирования локальной сети.
Добавлено: 06 сен 2013, 20:27
ну либо втыкайте пользователей непосредственно в мтик.
Re: Запрет сканирования локальной сети.
Добавлено: 09 сен 2013, 19:00
Доброго времени суток.
Стоит похожая задача, поэтому спрашиваю в этой теме. Имеется сетка, в сетке 3 вайфай точки. Необходимо сделать разграничение доступа между двумя группами вайфай юзеров. 1 группа - наши сотрудники, нужен полный доступ ко всему в сети, 2 группа - коммандированный народ, доступ нужен только к инету. Первая мысль была воткнуть роутеры с гостевым вайфаем, но для этого придется переделывать структуру сети. Гугл вывел на микротик, говорят можно сделать все, что хочешь. Так вот вопрос - можно ли фаерволом микротика(ну к примеру 951) группе (пользователей/айпишников/маков) зарезать доступ таким образом, чтобы из всей подсети у них был доступ только к одному айпишнику(инет шлюзу)?
Стоит похожая задача, поэтому спрашиваю в этой теме. Имеется сетка, в сетке 3 вайфай точки. Необходимо сделать разграничение доступа между двумя группами вайфай юзеров. 1 группа - наши сотрудники, нужен полный доступ ко всему в сети, 2 группа - коммандированный народ, доступ нужен только к инету. Первая мысль была воткнуть роутеры с гостевым вайфаем, но для этого придется переделывать структуру сети. Гугл вывел на микротик, говорят можно сделать все, что хочешь. Так вот вопрос - можно ли фаерволом микротика(ну к примеру 951) группе (пользователей/айпишников/маков) зарезать доступ таким образом, чтобы из всей подсети у них был доступ только к одному айпишнику(инет шлюзу)?
Re: Запрет сканирования локальной сети.
Добавлено: 09 сен 2013, 20:45
viewtopic.php?f=13&t=1345 это как-то не поможет в Вашем вопросе?
Re: Запрет сканирования локальной сети.
Добавлено: 09 сен 2013, 22:09
Если с ходу и "топорно", то я бы выделил постоянных пользователей в отдельную подсеть (хотя бы по макам и static dhcp), а всех остальных по обычному dhcp в другую подсеть. А там уже рулить правилами.
Re: Запрет сканирования локальной сети.
Добавлено: 12 сен 2013, 06:52
podarok66 писал(а):http://mikrotik.ru/forum/viewtopic.php?f=13&t=1345 это как-то не поможет в Вашем вопросе?
Если бы раздача инета производилась той же железкой, что раздает вайфай...
plin2s писал(а):Если с ходу и "топорно", то я бы выделил постоянных пользователей в отдельную подсеть (хотя бы по макам и static dhcp), а всех остальных по обычному dhcp в другую подсеть. А там уже рулить правилами.
Вот как то так мне это и видится.
192.168.0.0/24 - сеть
192.168.0.1 - инет шлюз
Вариант 1:
Своим раздаем по static dhcp адреса из этой сетки. Получается некий "свой" список ip. Никаких правил для него не пишем, можно всё. Чужим раздаем динамические адреса из этой же сетки. Чужим режем всё, кроме 192.168.0.1.
Вариант 2(как Вы предложили):
Своих в 192.168.0.0/24, чужих в 192.168.1.0/24. Чужих правилом заворачиваем на 192.168.0.1.
Вот и вопрос в том, реализуются ли эти варианты микротиком(принципиально, подробности пока не интересны). Сильно не пинайте, о продукции микротика узнал пару дней назад.
Re: Запрет сканирования локальной сети.
Добавлено: 12 сен 2013, 07:41
Вполне реализуется.
1) В ip - adresses добавляете еще один адрес для бриджа. Например 192.168.2.1/24.
2) В dhcp - networks прописываете новую сеть 192.168.2.0/24 gw 192.168.2.1
3) В ip - pool добавляете пул адресов для сети 192.168.2.0/24
4) В настройках dhcp выбираете дефолтом новый "гостевой" пул.
Далее нужно будет смотреть на dhcp leases. Нужна человеку локалка - отправляем его в первую подсеть. Нет - пусть остается в гостевой.
Остается только правилами фаервола зарезать доступ между 1.0/24 и 2.0/24 viewtopic.php?f=3&t=4130
Я бонусом еще и скорость гостям резал для всей подсети разом, чтоб не слишком канал просаживали.
Итого имеем: гости в своей песочнице, нужные клиенты отправляются в основную подсеть, из гостевой подсети в обычную (и наоборот) доступа нет.
Как вариант - можно не привязывать основную группу клиентов на статические адреса, а сделать второй dhcp сервер и у клиентов в leases выбирать от какого сервера они получают ответ, но я так не делал. Если сеть маленькая, то, мне лично, удобнее использовать статические аренды. А если большая, то такой вариант очень накладный - лучше думать на тему физического разделения сетей, о чем вы уже писали
1) В ip - adresses добавляете еще один адрес для бриджа. Например 192.168.2.1/24.
2) В dhcp - networks прописываете новую сеть 192.168.2.0/24 gw 192.168.2.1
3) В ip - pool добавляете пул адресов для сети 192.168.2.0/24
4) В настройках dhcp выбираете дефолтом новый "гостевой" пул.
Далее нужно будет смотреть на dhcp leases. Нужна человеку локалка - отправляем его в первую подсеть. Нет - пусть остается в гостевой.
Остается только правилами фаервола зарезать доступ между 1.0/24 и 2.0/24 viewtopic.php?f=3&t=4130
Я бонусом еще и скорость гостям резал для всей подсети разом, чтоб не слишком канал просаживали.
Итого имеем: гости в своей песочнице, нужные клиенты отправляются в основную подсеть, из гостевой подсети в обычную (и наоборот) доступа нет.
Как вариант - можно не привязывать основную группу клиентов на статические адреса, а сделать второй dhcp сервер и у клиентов в leases выбирать от какого сервера они получают ответ, но я так не делал. Если сеть маленькая, то, мне лично, удобнее использовать статические аренды. А если большая, то такой вариант очень накладный - лучше думать на тему физического разделения сетей, о чем вы уже писали
Re: Запрет сканирования локальной сети.
Добавлено: 24 сен 2013, 07:12
Спасибо за подробный ответ. Будем брать 