+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Блокировать плохие имена хостов в аренде DHCP

Блокировать плохие имена хостов в аренде DHCP, RouterOS

PeterDoBrasil

Guest

24.10.2015 09:21:00

Блокировка плохих имён хостов, ARP-спуфинг и т.д.
host-name, отредактируйте t1 → t15, затем добавьте скрипт в планировщик и запускайте каждые две минуты
Mikrotik RouterOS v6.33rc30:
:foreach i in=[/ip dhcp-server lease find host-name="t1" || host-name="t2" || host-name="t3" || host-name="t4" || host-name="t5" || host-name="t6" || host-name="t7" || host-name="t8" || host-name="t9" || host-name="t10" || host-name="t11" || host-name="t12" || host-name="t13" || host-name="t14" || host-name="t15"] do={
:local ip [/ip dhcp-server lease get $i address];
:local mac [/ip dhcp-server lease get $i mac-address];
:local host [/ip dhcp-server lease get $i host-name];
/ip dhcp-server lease make-static [find];
/ip dhcp-server lease set [find where dynamic=no mac-address=$mac] use-src-mac=yes client-id="1:$mac" server=dhcp1 block-access=yes comment=BadHost
:log warning ("Bad Host Name $host " . "с Mac $mac " . "и IP $ip заблокирован в списках DHCP-сервера")
}

Удаление плохих имён хостов, ARP-спуфинг и т.д., затем добавьте скрипт в планировщик и запускайте каждые 12 часов
Mikrotik RouterOS v6.33rc30:
:foreach i in=[/ip dhcp-server lease find comment=BadHost] do={
:local ip [/ip dhcp-server lease get $i address];
:local mac [/ip dhcp-server lease get $i mac-address];
:local host [/ip dhcp-server lease get $i host-name];
/ip dhcp-server lease remove [find where comment=BadHost];
:log warning ("Bad Host Name $host " . "с Mac $mac " . "и IP $ip удалён из списков DHCP-сервера")
}

Другой способ заблокировать плохие элементы — с помощью Bridge Filter
Блокировка плохих имён хостов, ARP-спуфинг и т.д.
host name, отредактируйте t1 → t15, затем добавьте скрипт в планировщик и запускайте каждые две минуты
Mikrotik RouterOS v6.33rc30:
:foreach i in=[/ip dhcp-server lease find host-name="t1" || host-name="t2" || host-name="t3" || host-name="t4" || host-name="t5" || host-name="t6" || host-name="t7" || host-name="t8" || host-name="t9" || host-name="t10" || host-name="t11" || host-name="t12" || host-name="t13" || host-name="t14" || host-name="t15"] do={
:local ip [/ip dhcp-server lease get $i address];
:local mac [/ip dhcp-server lease get $i mac-address];
:local host [/ip dhcp-server lease get $i host-name];
:if ([/interface bridge filter find src-mac-address="$mac/FF:FF:FF:FF:FF:FF"] = "") do={
/interface bridge filter add chain=input src-mac-address="$mac/FF:FF:FF:FF:FF:FF" mac-protocol=ip action=drop comment=BadHost
/interface bridge filter add chain=output src-mac-address="$mac/FF:FF:FF:FF:FF:FF" mac-protocol=ip action=drop comment=BadHost
/interface bridge filter add chain=forward src-mac-address="$mac/FF:FF:FF:FF:FF:FF" mac-protocol=ip action=drop comment=BadHost
:log warning ("Bad Host Name $host " . "с Mac $mac " . "и IP $ip добавлен в bridge filter")
}
}

Удаление плохих имён хостов, ARP-спуфинг и т.д.
/interface bridge filter remove [find comment=BadHost]

piyaservice

Guest

02.06.2016 07:15:00

Уважаемый сэр, пожалуйста, объясните мне. Я не понимаю вопроса. Где нужно установить или скопировать скрипт? Если я хочу заблокировать активное имя хоста «anroidxxxx», сможет ли этот скрипт это сделать или нет? С уважением.

yosdeny

Guest

19.04.2018 16:31:00

Хочу сделать что-то похожее. При обнаружении внутренней атаки в LAN IP адрес злоумышленника отправляется в список блокировки, но я не знаю, как сделать так, чтобы этот IP заблокировался на DHCP, ведь все мои IP выдаются через статический DHCP, привязанный по MAC, и ARP настроен в режиме reply-only.

sindy

Guest

21.04.2018 09:00:00

Вас устраивает, что блокировка произойдет через несколько минут или часов после обнаружения злонамеренной активности, потому что DHCP-сервер не может отозвать аренду у DHCP-клиента в течение срока её действия — он может только отказать в продлении аренды, когда клиент обращается за обновлением? Все ли устройства в локальной сети подключены напрямую к Ethernet-портам Mikrotik, каждый своим кабелем, или между Mikrotik и устройствами в сети есть какие-то другие коммутаторы или хабы?

yosdeny Guest	#5 0 22.04.2018 17:40:00 Я знаю, что DHCP выдаёт время жизни, но если компьютеру заблокировать tikec, он останется вне сети, потеряв свой лизинг. Обычный tikec — 1 минута.

yosdeny Guest	#6 0 22.04.2018 17:43:00 Если я заблокирую твоё назначение IP в DHCP, оно автоматически блокируется, так как сеть закрыта от ARP, и DHCP напрямую отправляет IP в ARP по мере их назначения.

yosdeny

Guest

30.04.2018 17:13:00

Мне нужна твоя помощь, чтобы понять, как сделать так, чтобы этот скрипт работал с списком, а не с IP, присвоенным переменной. I would like your help to see how I can make this script work with a list and not with an ip assigned to a variable.

:local hacklist “172.23.4.1”

:foreach host in $hacklist do={
:local busyaddr [ip dhcp-server lease find address=“$host”]
:local i
:foreach i in $busyaddr do={
/ip dhcp-server lease set block-access=yes $i;
}
}

sindy

Guest

30.04.2018 18:00:00

Боюсь, я не совсем понимаю, зачем вы использовали два цикла там, где должен был хватить одного, но, к сожалению, никак нельзя напрямую сверить выданные адреса с каким-то списком без цикла вообще. $hacklist содержит адреса всех DHCP-клиентов, которых вы хотите заблокировать, верно? Значит, внутренний цикл должен запускаться всего один раз каждый раз, потому что каждый $host не должен встречаться в аренде больше одного раза, так что $busyaddr всегда должен содержать ссылку на одну аренду. Разве это не так? Мой скрипт был бы таким:

:local hacklist "172.23.4.1"
:foreach host in $hacklist do={
/ip dhcp-server lease set [ip dhcp-server lease find address="$host"] block-access=yes;
}

Но я по-прежнему считаю, что блокируя MAC-адрес на уровне DHCP, как вы сделали выше, вы не сможете помешать заблокированному клиенту связываться с другими устройствами в той же подсети до тех пор, пока срок аренды не истечёт. Потому что даже если Mikrotik будет игнорировать ARP-запросы от заблокированного клиента (не знаю, откуда вы это взяли), остальные устройства в локалке их игнорировать не будут. Значит, пока аренда действует, этот злонамеренный клиент всё равно сможет атаковать другие устройства в своей сети.

yosdeny

Guest

30.04.2018 21:10:00

Если всё так, как ты говоришь, но я хочу, чтобы это сработало для address-list с несколькими IP внутри. Я знаю, что оно уже будет выдано, но когда ты блокируешь, как в DHCP, который отправляешь в ARP-таблицу, аренда (leased) останется прервана. Я всегда потом могу сделать ещё один цикл и удалить её из ARP-таблицы, но сначала хочу сделать это.

Пример:
:local numeroipext [/ip firewall address-list find comment=”ip_ext”];

yosdeny

Guest

#10

30.04.2018 21:18:00

что-то вроде: something like that: :local hacklist [/ip firewall address-list name=ban]; :foreach host in $hacklist do={ /ip dhcp-server lease set [ip dhcp-server lease find address=“$host”] block-access=yes; } но с ip pk комментарий не добавляется, когда он генерируется автоматически из списка банов. but with ip pk the comment is not put when it is automatically generated from a ban list

sindy

Guest

#11

30.04.2018 21:31:00

Боюсь, что качество перевода с испанского на английский у Google Translator не так уж и хорошее, как тебе кажется, потому что у меня проблемы с пониманием того, что ты написал. Код ниже вдохновляет тебя хоть немного? foreach item in=[ip firewall address-list find list=troublemaker] do={put [/ip firewall address-list get $item address]}

yosdeny Guest	#12 0 01.05.2018 14:03:00 Извини, но так как я не пишу по-английски, приходится использовать его. Постараюсь быть более ясным.

sindy

Guest

#13

01.05.2018 14:40:00

Полезно сначала перевести предложение с испанского на английский, а потом перевести получившийся текст обратно на испанский. Если в итоге по-испански получится то же самое, что и в оригинале, значит, скорее всего, английское предложение тоже имеет смысл.

yosdeny Guest	#14 0 02.05.2018 16:30:00 Я смог заставить всё работать. Но пока не получается, чтобы тикет сбрасывался. :foreach item in=[ip firewall address-list find list=prueba] do={ :set $ipList value=[/ip firewall address-list get $item address] :local busyaddr [ip dhcp-server lease find address="$ipList"] :ip dhcp-server lease set block-access=yes $busyaddr lease-time=1 comment=bloqueando-ataque-lan :local daddr [ip arp find address=$ipList] :ip arp remove $daddr }

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры