+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

АВТОМАТИЧЕСКИЙ ФИЛЬТР МОСТА

АВТОМАТИЧЕСКИЙ ФИЛЬТР МОСТА, RouterOS

PeterDoBrasil

Guest

28.09.2015 01:55:00

Как мне сделать автоматический скрипт, который добавляет клиентов, пингующих (icmp 8-0) мою сеть, в фильтр моста? Я имею в виду, чтобы фильтр файрвола обнаруживал icmp-запрос, скрипт находил MAC клиента, добавлял его в фильтр моста с действием "отбросить", а через 6 часов удалял это правило!

PeterDoBrasil

Guest

25.10.2015 11:41:00

chechito, моя сетевая конфигурация для WDS такая: interface-bridge=arp-reply only, dhcp-server=arp enabled=yes. У меня небольшой хотспот, клиенты — только андроид-телефоны, планшеты и ноутбуки. Проблем с ручной настройкой IP у клиентов нет, так как устройства с ручной настройкой не подключаются! Хотспот удаляет динамических клиентов, если не получает ARP от DHCP: /ip hotspot host remove [/ip hotspot host find dynamic=yes] (планировщик запускается каждые 30 секунд). Эта конфигурация работает у меня отлично.

Планировщик запускается каждые 40 секунд:

:local addr
:local toaddr
:foreach i in=[/ip hotspot host find] do={
:set addr [/ip hotspot host get $i address]
:set toaddr [/ip hotspot host get $i to-address]
:log info “address = $addr и to-address = $toaddr”
:if ($addr != $toaddr) do={
мы нашли одного для очистки
:log info “очищаем address = $addr и to-address = $toaddr с номером $i”
/ip hotspot host rem $i
}
}

Интернет от мобильных операторов здесь предлагает максимум 10kb/ps. Они все еще используют аналоговую технологию. Я этим воспользовался и сделал самый медленный тариф 512 kb/ps, а самый быстрый — 5m/ps. Мой город — маленький, около 20 тысяч жителей, центральная Бразилия!! У меня есть друг, владелец одного из местных провайдеров, он продал мне 36 МБ/с, чтобы я мог делиться ими с клиентами!

PeterDoBrasil

Guest

24.10.2015 22:22:00

Решено, теперь работает отлично.
Блокировка плохих имен хостов host-name, от t1 до t15, затем добавьте скрипт в планировщик и запускайте каждые две минуты.
Mikrotik RouterOS v6.33rc30:
:foreach i in=[/ip dhcp-server lease find host-name=“t1” || host-name=“t2” || host-name=“t3” || host-name=“t4” || host-name=“t5” || host-name=“t6” || host-name=“t7” || host-name=“t8” || host-name=“t9” || host-name=“t10” || host-name=“t11” || host-name=“t12” || host-name=“t13” || host-name=“t14” || host-name=“t15”] do={
:local ip [/ip dhcp-server lease get $i address];
:local mac [/ip dhcp-server lease get $i mac-address];
:local host [/ip dhcp-server lease get $i host-name];
/ip dhcp-server lease make-static [find];
/ip dhcp-server lease set [find where dynamic=no mac-address=$mac] use-src-mac=yes client-id=“1:$mac” server=dhcp1 block-access=yes comment=BadHost;
:log warning ("Bad Host Name $host " . "с Mac $mac " . "и IP $ip заблокирован в DHCP-сервере");
}

Удаление плохих имен хостов, затем добавьте скрипт в планировщик и запускайте каждые 12 часов.
Mikrotik RouterOS v6.33rc30:
:foreach i in=[/ip dhcp-server lease find comment=BadHost] do={
:local ip [/ip dhcp-server lease get $i address];
:local mac [/ip dhcp-server lease get $i mac-address];
:local host [/ip dhcp-server lease get $i host-name];
/ip dhcp-server lease remove [find where comment=BadHost];
:log warning ("Bad Host Name $host " . "с Mac $mac " . "и IP $ip удалён из DHCP-сервера");
}

Другой вариант блокировки плохих элементов — через Bridge Filter.
Блокировка плохих имен хостов, ARP спуфинг и т.п., от t1 до t15, затем добавьте скрипт в планировщик и запускайте каждые две минуты.
Mikrotik RouterOS v6.33rc30:
:foreach i in=[/ip dhcp-server lease find host-name=“t1” || host-name=“t2” || host-name=“t3” || host-name=“t4” || host-name=“t5” || host-name=“t6” || host-name=“t7” || host-name=“t8” || host-name=“t9” || host-name=“t10” || host-name=“t11” || host-name=“t12” || host-name=“t13” || host-name=“t14” || host-name=“t15”] do={
:local ip [/ip dhcp-server lease get $i address];
:local mac [/ip dhcp-server lease get $i mac-address];
:local host [/ip dhcp-server lease get $i host-name];
:if ([/interface bridge filter find src-mac-address=“$mac/FF:FF:FF:FF:FF:FF”] = “”) do={
/interface bridge filter add chain=input src-mac-address=“$mac/FF:FF:FF:FF:FF:FF” mac-protocol=ip action=drop comment=BadHost;
/interface bridge filter add chain=output src-mac-address=“$mac/FF:FF:FF:FF:FF:FF” mac-protocol=ip action=drop comment=BadHost;
/interface bridge filter add chain=forward src-mac-address=“$mac/FF:FF:FF:FF:FF:FF” mac-protocol=ip action=drop comment=BadHost;
:log warning ("Bad Host Name $host " . "с Mac $mac " . "и IP $ip добавлен в bridge filter");
}
}

chechito Guest	#4 0 25.10.2015 05:05:00 Знаешь, чтобы подделать, нужен только протокол ARP, а не ping.

docmarius

Guest

25.10.2015 05:33:00

Кстати, это что-то новенькое. Любой правильно сформированный UDP-пакет тоже может использоваться для получения этой информации… Разве не проще было бы просто заблокировать ICMP-ответы (хотя, как говорит chechito, это всё равно оставляет проблему с ARP открытой)?

PeterDoBrasil Guest	#6 0 25.10.2015 11:15:00 ???

PeterDoBrasil Guest	#7 0 25.10.2015 11:23:00 Echo Reply /ip firewall filter add action=jump chain=forward comment=“JUMP TO PING” dst-address-list=5G icmp-options=0 in-interface=bridge jump-target=ping log=yes log-prefix=Ping protocol=icmp src-address-list=5G_Client_Addresses add action=add-src-to-address-list address-list=“deny ping from ->” address-list-timeout=15m chain=ping comment=“PING ACTION” in-interface=bridge add action=add-dst-to-address-list address-list=“deny ping to <-” address-list-timeout=15m chain=ping comment=“PING ACTION” in-interface=bridge add action=drop chain=ping comment=“PING ACTION” in-interface=bridge icmp-options=0 Это верно?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры