Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Blokada MAC adresa

[es] :: Wireless :: Mikrotik :: Blokada MAC adresa

[ Pregleda: 2650 | Odgovora: 15 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

starkg
Kragujevac

Član broj: 51088
Poruke: 711
*.dynamic.sbb.rs.



+89 Profil

icon Blokada MAC adresa06.01.2014. u 10:28 - pre 124 meseci
Testirao sam neku novu karticu, posto mreza ima i 20-tak korisnika, IP-Pool sam namestio tako da vise niko ne moze dobiti adresu od DHCP posto ima 20 mesta, nasa WiFi sifra cesto procuri i naravno niko nije rekao nikome.

Sad postoji nacin ako znas lozinku za WIFI AP da se zakacis tako sto sam uneses staticku adresu , podrazumevani mrezni prolaz gogole DNS itd...

Mikrotik nije u stanju da registruje takav nacin povezivanja tako da sam se bas zacudio ili jeste ali ne u listi gde registruje DHCP?

Kojim pravilom bih mogao na primer da dropujem sve MAC adrese, a da drugim pravilom za svakog korisnika prihvatim one MAC adrese koje se koriste u mrezi i treba da budu tu. Za sada nema problema ali bih hteo da regulisem i to sta znam ko se moze kaciti.

Pada mi napamet da u samom AP-u to uradim mislim da ima a znam da moze i u MikroTiku.
YU1OTW
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: Blokada MAC adresa06.01.2014. u 10:59 - pre 124 meseci
Wireless access-list? Arp reply-only?
 
Odgovor na temu

yolja624

Član broj: 9380
Poruke: 1856



+643 Profil

icon Re: Blokada MAC adresa06.01.2014. u 11:13 - pre 124 meseci
^^... dok ne skapiraju promjenu MAC...

Ja preferiram pppoe...
 
Odgovor na temu

starkg
Kragujevac

Član broj: 51088
Poruke: 711
*.opera-mini.net.



+89 Profil

icon Re: Blokada MAC adresa06.01.2014. u 11:38 - pre 124 meseci
Ok nisam napomenuo da ap je obican nije mikrotik ap, mikrotik je glavni ruter, nista proucicu ppoe nisam to radio do sada.
YU1OTW
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: Blokada MAC adresa06.01.2014. u 13:33 - pre 124 meseci
Pusti net samo tim adresama koje su u DHCP pool-u, ostale blokiraj.
 
Odgovor na temu

starkg
Kragujevac

Član broj: 51088
Poruke: 711
*.dynamic.sbb.rs.



+89 Profil

icon Re: Blokada MAC adresa06.01.2014. u 14:12 - pre 124 meseci
Ideja je odlicna, samo sto nemam predstavu kako to da uradim, gledao sam ali gde da naznacim dhcp, ili mi trebaju dva pravila, evo tragam i dalje pa cu napisati ovde sta sam nasao. Za sada nemam resenje...
YU1OTW
 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1176
*.dynamic.isp.telekom.rs.



+79 Profil

icon Re: Blokada MAC adresa06.01.2014. u 19:58 - pre 124 meseci
da te ne skrenem sa pravog puta mislim da je Aleksandar mislio na firewall...
pravilo ACCEPT u INPUT chainu za src adresu ili određeni opseg (npr podmrežna maska /27)...
ostale DROP...
 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1176
*.dynamic.isp.telekom.rs.



+79 Profil

icon Re: Blokada MAC adresa06.01.2014. u 20:47 - pre 124 meseci
ali zar može da stavlja IP adrese koje hoće ako si postavio DHCP da ti bude "authoritative"?
Pošto RuterOS koristi DNSmasq za DHCP možeš da uradiš sledeće...
da taguješ tvoj opseg "poznatih" od tih 20-ak adresa
# This is an example of a DHCP range which sets a tag, so that
# some DHCP options may be set only for this network.
dhcp-range=set:known,192.168.0.50,192.168.0.70
a onda odbaciš sve koji nisu u tom opsegu "poznatih"...
# Ignore any clients which are not specified in dhcp-host lines
# or /etc/ethers. Equivalent to ISC "deny unknown-clients".
# This relies on the special "known" tag which is set when
# a host is matched.
dhcp-ignore=tag:!known

u LInuxu (!) označava negaciju...

možeš još nešto da eksperimentišeš.
Da za taj opseg koji je izvan ovog koji koriste tvoji klijenti, u PREROUTINGU dok paketi još nisu došli na odlučivanje napraviš DNAT za dport 53 na neku nerutabilnu adresu i neće moći da otvori ni jednu stranicu (osim ako ne zna IP za svaku stranicu posebno). U tom slučaju bi morao da napraviš dva pravila jer DNS koristi i tcp i udp protokol. Dakle za tcp dport 53 i udp za dport 53 pa dnat na neku levu adresu... Bez obzira koji on DNS upiše u mrežna podešavanja svi zahtevi za risolvovanje će biti preusmereni na adresu koju si ti naznačio...

 
Odgovor na temu

starkg
Kragujevac

Član broj: 51088
Poruke: 711
*.dynamic.sbb.rs.



+89 Profil

icon Re: Blokada MAC adresa06.01.2014. u 21:33 - pre 124 meseci
Evo pokusavam da "drop" sve koji nisu ali nekako ne mogu da definisem IP adrese, jer dropujem internet mozda da idem neki opseg tipa 1.0.0.0-255.255.255.255 a da drugim pravilima propustam poznate...

Inace stoji "authoritative" ali on propusta staticke adrese koje izaberes i internet radi to se vidi u ARP listi dakle moze da bude otkriven. Ali na DHCP imam i "authoritative" imam i "add ARP for leases" i opet mogu da na mom adapteru promenim IP iako sam vezao IP za MAC i da koristim net, opet kazem u ARP listi se to vidi...
Pokusacu jos nesto ali moram prvo da utvrdim sta sve moram od IP adresa da propustim.

YU1OTW
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: Blokada MAC adresa06.01.2014. u 21:52 - pre 124 meseci
Zar nije lakse da im u dhcp lease stavis svima staticke adrese na osnovu njihovih mac adresa i na interfejsu stavis arp:reply-only.

Na taj nacin ako se neko poveze na AP i ne zatrazi podesavanja interfejsa od dhcp-a nece moci da komunicira sa gateway-om jer se ne nalazi na njegovoj arp listi (dhcp je jedini koji moze da doda).

Cak i ako provale da mogu da menjaju mac adresu to im nece puno pomoci jer ce samo u jednom momentu moci da bude jedan od njih povezan jer ce dolaziti do kolizije ako se pojave u isto vreme dva sa istom mac adresom.

Znaci:

1. u lease tabelu ubacih svih 20 mac adresa dodelis im staticke IP adrese
2. u podesavanju dhcp servera ukljucis ADD ARP FOR LEASES
3. na interfejsu na koji ulaze ti korisnici podesis arp:reply-only

Dodatno mozes da se zezas i sa firewall-om tako da propustas samo odredjenu kombinaciju IP/MAC i ni jednu drugu ali to je vec malo smor :)
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: Blokada MAC adresa06.01.2014. u 21:54 - pre 124 meseci
U bre al komplikujete... napravis access-list i nju stavis opseg adresa u formatu 192.168.1.100-192.168.1.200. Dodas firewall pravilo, stavis src.address list da ti bude ta lista i action stavis drop - kraj price.

Moze ista lista da ti sadrzi vise opsega, bitno je samo da se isto zove.

Naravno, mozes i suprotno, blokiras sve, napravis listu adresa koje su u DHCP-u pool-u i onda samo njih dozvolis (stavis to pravilo pre pravila koje blokira sve).

[Ovu poruku je menjao Aleksandar Đokić dana 06.01.2014. u 23:26 GMT+1]
 
Odgovor na temu

starkg
Kragujevac

Član broj: 51088
Poruke: 711
*.dynamic.sbb.rs.



+89 Profil

icon Re: Blokada MAC adresa07.01.2014. u 11:24 - pre 124 meseci
Gde da napravim "access-list" ja uopste ne koristim Wireless na mikrotiku. Na TP linku koji je u AP modu mi je konfigurisan WiFi i lozinka, a to ide u MikroTik, gde korisnici dobijaju DHCP po dobijenoj DHCP ja im stavim da su staticke adrese i posle svako ima svoj IP, kada dodje nov korisnik i za njega uradim isto.

Imam problem ne znam gde to da stavim i koje sve stavke da uvrstim u firewall ako nije problem moze li neki link sa slicnom situacijom, da se ne mucite vi.
YU1OTW
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: Blokada MAC adresa07.01.2014. u 11:27 - pre 124 meseci
Mislio sam na address list.
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: Blokada MAC adresa07.01.2014. u 11:37 - pre 124 meseci
Citat:
starkg:
a to ide u MikroTik, gde korisnici dobijaju DHCP po dobijenoj DHCP ja im stavim da su staticke adrese i posle svako ima svoj IP, kada dodje nov korisnik i za njega uradim isto.


Odlicno, onda samo na dhcp serveru stavis add-arp-for-leases i na interfejsu stavis za arp reply only i resio si posao :)
 
Odgovor na temu

starkg
Kragujevac

Član broj: 51088
Poruke: 711
*.dynamic.sbb.rs.



+89 Profil

icon Re: Blokada MAC adresa07.01.2014. u 12:49 - pre 124 meseci
Hvala svima na pomoci ovo sada radi.

Da Informer tu sam pogresio a ubi se da nadjem sta je :) sada je sve ok.

Jos jednom hvala svima.
YU1OTW
 
Odgovor na temu

starkg
Kragujevac

Član broj: 51088
Poruke: 711
*.dynamic.sbb.rs.



+89 Profil

icon Re: Blokada MAC adresa07.01.2014. u 21:08 - pre 124 meseci
UF...
Sve je radilo ko u bajci dok mikrotik nije poceo sve da odbija, posto sam imao noviji hardver instalirao sam nov sve iz pocetka, nego nisam dobio na LAN adapteru L2MTU, dok je na WAN 1600, naravno L1MTU je 1500 ranije je bilo pa me zanima sada zasto ga nema?


Jos jedno pitanje zasto mi ne radi sa Pedjinog sajta ono ogranicenje za "ostale". Dakle podesim sve vezem MAC za IP i dodelim protoke i na kraju stavim "ostali" 1k/1k i kroz neko vreme sve nas baci na 1k zasto?
YU1OTW
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: Blokada MAC adresa

[ Pregleda: 2650 | Odgovora: 15 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.