Страница 1 из 1
Блокируем не используемые статические адреса ЛВС
Добавлено: 12 дек 2018, 08:33
pen07
Добрый день!
Подскажите как сделать следующие действие.
У нас на предприятие локальная сеть статическая, выдано 130 айпи адресов. Но на днях заметил люди приносят свои ноутбуки в водить следующий за занятым и сидят в локальной сети предприятия. Я хотел бы ограничить порты шары чтобы не могли ходит по сетевым папкам.
Получается я сделал отдельный Address List добавил туда айпи адреса которые не используются. Вот только не работает, нужна помощь.
Пример
Сделал правило
Код: Выделить всё
add chain = forward src-address=192.168.0.0/24 protocol = tcp src-port = 139,445 action = drop address-list="Blocked"
add chain = forward src-address=192.168.0.0/24 protocol = udp src-port = 137,137 action = drop address-list="Blocked"
Код: Выделить всё
add address=192.168.0.131 list=Blocked
add address=192.168.0.132 list=Blocked
add address=192.168.0.133 list=Blocked
add address=192.168.0.134 list=Blocked
add address=192.168.0.135 list=Blocked
и т.д.
Re: Блокируем не используемые статические адреса ЛВС
Добавлено: 12 дек 2018, 08:52
gmx
Оно и не заработает, скорее всего...
Проверьте, ведь локальные ресурсы вашей сети будут по прежнему доступны и при выключенном микротике? Компьютеры локальной сети не обращаются к шлюзу для доступа к ресурсам своей собственной сети.
Подключайте шары локальной сети непосредственно в микротик. И далее есть специальный фаерволл уже в Bridge. Там можно это на уровне бриджа ограничить.
Либо ограничивать фаерволом на самих серверах, как вариант.
Re: Блокируем не используемые статические адреса ЛВС
Добавлено: 12 дек 2018, 09:52
pen07
gmx писал(а): ↑12 дек 2018, 08:52
Подключайте шары локальной сети непосредственно в микротик. И далее есть специальный фаерволл уже в Bridge. Там можно это на уровне бриджа ограничить.
Подскажите как это сделать.
Re: Блокируем не используемые статические адреса ЛВС
Добавлено: 12 дек 2018, 13:35
gmx
Bridge - Filters, и там почти также как обычном фаерволле, но с некоторыми ограничениями.
Re: Блокируем не используемые статические адреса ЛВС
Добавлено: 12 дек 2018, 13:48
Ca6ko
pen07 писал(а): ↑12 дек 2018, 08:33
.... чтобы не могли ходит по сетевым папкам...
Если только для этого то. Настройте список пользователей для доступа к сетевым папкам. Или просто смените логин пароль и введите новый только на доверенных устройствах
При таком количестве пользователей их надо жестко ограничивать в правах, меньше головной боли.
Если покажите схему сети советов может быть больше и лучше.
Re: Блокируем не используемые статические адреса ЛВС
Добавлено: 12 дек 2018, 13:53
gmx
Да забыл написать, можно проще сделать, на вкладке Bridge нажмите кнопку Settings и поставьте галочку Use IP Firewall и тогда у вас будут работать обычные правила в IP-Firewall для трафика, который проходит через бридж микротика.
Очень полезно почитать
https://mum.mikrotik.com/presentations/ ... 141611.pdf
Но это все, в рамках вашей задачи, при условии, что трафик до общих папок проходит через микротик. Если стоят коммутаторы и в них включены сервера и потребители, то до микротика трафик не дойдет.