Информация
Настройка
Новости
Контакты
Новинка
Распродажа
Оплата
Доставка
Загрузки
  • Прошивки
    • WinBox
    • RouterOS
    • Мобильные приложения MikroTik
    • Архив
  • Changelogs
  • RouterOS
  • Мобильные приложения MikroTik
  • Архив
Форум
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
    info@mikrotik.moscow
    +7 495 320-55-52
    Заказать звонок
    Mikrotik.moscow
    Каталог
    • Акции
      Акции
    • Маршрутизаторы
      Маршрутизаторы
    • Коммутаторы
      Коммутаторы
    • Радиомосты и уличные точки доступа
      Радиомосты и уличные точки доступа
    • Wi-Fi для дома и офиса
      Wi-Fi для дома и офиса
    • LTE/5G
      LTE/5G
    • Powerline адаптеры
      Powerline адаптеры
    • IoT устройства
      IoT устройства
    • Оборудование 60 ГГц
      Оборудование 60 ГГц
    • Материнские платы RouterBOARD
      Материнские платы RouterBOARD
    • Корпуса
      Корпуса
    • Интерфейсы
      Интерфейсы
    • SFP/QSFP трансиверы
      SFP/QSFP трансиверы
    • Аксессуары
      Аксессуары
    • Антенны
      Антенны
    • Архив
      Архив
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Скачать WinBox Скачать Прошивки Форум > RouterOS Форум > SwOS Форум > Железо
    Mikrotik.moscow
    Каталог
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Mikrotik.moscow
    Телефоны
    +7 495 320-55-52
    Заказать звонок
    0
    0
    0
    Mikrotik.moscow
    • +7 495 320-55-52
      • Назад
      • Телефоны
      • +7 495 320-55-52
      • Заказать звонок
    • info@mikrotik.moscow
    • г. Москва, ул. Бакунинская, 84
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной


    • Кабинет
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    RouterOS
    АВТОМАТИЧЕСКИЙ ФИЛЬТР МОСТА

    АВТОМАТИЧЕСКИЙ ФИЛЬТР МОСТА

    Форумы: RouterOS, Аппаратное обеспечение, SwOS, Обратная связь, Объявления, Сторонние инструменты
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    АВТОМАТИЧЕСКИЙ ФИЛЬТР МОСТА, RouterOS
     
    PeterDoBrasil
    Guest
    #1
    0
    28.09.2015 01:55:00
    Как мне сделать автоматический скрипт, который добавляет клиентов, пингующих (icmp 8-0) мою сеть, в фильтр моста? Я имею в виду, чтобы фильтр файрвола обнаруживал icmp-запрос, скрипт находил MAC клиента, добавлял его в фильтр моста с действием "отбросить", а через 6 часов удалял это правило!
     
     
     
    PeterDoBrasil
    Guest
    #2
    0
    25.10.2015 11:41:00
    chechito, моя сетевая конфигурация для WDS такая: interface-bridge=arp-reply only, dhcp-server=arp enabled=yes. У меня небольшой хотспот, клиенты — только андроид-телефоны, планшеты и ноутбуки. Проблем с ручной настройкой IP у клиентов нет, так как устройства с ручной настройкой не подключаются! Хотспот удаляет динамических клиентов, если не получает ARP от DHCP: /ip hotspot host remove [/ip hotspot host find dynamic=yes] (планировщик запускается каждые 30 секунд). Эта конфигурация работает у меня отлично.

    Планировщик запускается каждые 40 секунд:

    :local addr  
    :local toaddr  
    :foreach i in=[/ip hotspot host find] do={
    :set addr [/ip hotspot host get $i address]
    :set toaddr [/ip hotspot host get $i to-address]
    :log info “address = $addr и to-address = $toaddr”  
    :if ($addr != $toaddr) do={  
    мы нашли одного для очистки  
    :log info “очищаем address = $addr и to-address = $toaddr с номером $i”  
    /ip hotspot host rem $i  
    }  
    }

    Интернет от мобильных операторов здесь предлагает максимум 10kb/ps. Они все еще используют аналоговую технологию. Я этим воспользовался и сделал самый медленный тариф 512 kb/ps, а самый быстрый — 5m/ps. Мой город — маленький, около 20 тысяч жителей, центральная Бразилия!! У меня есть друг, владелец одного из местных провайдеров, он продал мне 36 МБ/с, чтобы я мог делиться ими с клиентами!
     
     
     
    PeterDoBrasil
    Guest
    #3
    0
    24.10.2015 22:22:00
    Решено, теперь работает отлично.  
    Блокировка плохих имен хостов host-name, от t1 до t15, затем добавьте скрипт в планировщик и запускайте каждые две минуты.  
    Mikrotik RouterOS v6.33rc30:  
    :foreach i in=[/ip dhcp-server lease find host-name=“t1” || host-name=“t2” || host-name=“t3” || host-name=“t4” || host-name=“t5” || host-name=“t6” || host-name=“t7” || host-name=“t8” || host-name=“t9” || host-name=“t10” || host-name=“t11” || host-name=“t12” || host-name=“t13” || host-name=“t14” || host-name=“t15”] do={
     :local ip [/ip dhcp-server lease get $i address];
     :local mac [/ip dhcp-server lease get $i mac-address];
     :local host [/ip dhcp-server lease get $i host-name];
     /ip dhcp-server lease make-static [find];
     /ip dhcp-server lease set [find where dynamic=no mac-address=$mac] use-src-mac=yes client-id=“1:$mac” server=dhcp1 block-access=yes comment=BadHost;
     :log warning ("Bad Host Name $host " . "с Mac $mac " . "и IP $ip заблокирован в DHCP-сервере");  
    }

    Удаление плохих имен хостов, затем добавьте скрипт в планировщик и запускайте каждые 12 часов.  
    Mikrotik RouterOS v6.33rc30:  
    :foreach i in=[/ip dhcp-server lease find comment=BadHost] do={
     :local ip [/ip dhcp-server lease get $i address];
     :local mac [/ip dhcp-server lease get $i mac-address];
     :local host [/ip dhcp-server lease get $i host-name];
     /ip dhcp-server lease remove [find where comment=BadHost];
     :log warning ("Bad Host Name $host " . "с Mac $mac " . "и IP $ip удалён из DHCP-сервера");  
    }

    Другой вариант блокировки плохих элементов — через Bridge Filter.  
    Блокировка плохих имен хостов, ARP спуфинг и т.п., от t1 до t15, затем добавьте скрипт в планировщик и запускайте каждые две минуты.  
    Mikrotik RouterOS v6.33rc30:  
    :foreach i in=[/ip dhcp-server lease find host-name=“t1” || host-name=“t2” || host-name=“t3” || host-name=“t4” || host-name=“t5” || host-name=“t6” || host-name=“t7” || host-name=“t8” || host-name=“t9” || host-name=“t10” || host-name=“t11” || host-name=“t12” || host-name=“t13” || host-name=“t14” || host-name=“t15”] do={
     :local ip [/ip dhcp-server lease get $i address];
     :local mac [/ip dhcp-server lease get $i mac-address];
     :local host [/ip dhcp-server lease get $i host-name];
     :if ([/interface bridge filter find src-mac-address=“$mac/FF:FF:FF:FF:FF:FF”] = “”) do={
      /interface bridge filter add chain=input src-mac-address=“$mac/FF:FF:FF:FF:FF:FF” mac-protocol=ip action=drop comment=BadHost;  
      /interface bridge filter add chain=output src-mac-address=“$mac/FF:FF:FF:FF:FF:FF” mac-protocol=ip action=drop comment=BadHost;  
      /interface bridge filter add chain=forward src-mac-address=“$mac/FF:FF:FF:FF:FF:FF” mac-protocol=ip action=drop comment=BadHost;  
      :log warning ("Bad Host Name $host " . "с Mac $mac " . "и IP $ip добавлен в bridge filter");  
     }  
    }
     
     
     
    chechito
    Guest
    #4
    0
    25.10.2015 05:05:00
    Знаешь, чтобы подделать, нужен только протокол ARP, а не ping.
     
     
     
    docmarius
    Guest
    #5
    0
    25.10.2015 05:33:00
    Кстати, это что-то новенькое. Любой правильно сформированный UDP-пакет тоже может использоваться для получения этой информации… Разве не проще было бы просто заблокировать ICMP-ответы (хотя, как говорит chechito, это всё равно оставляет проблему с ARP открытой)?
     
     
     
    PeterDoBrasil
    Guest
    #6
    0
    25.10.2015 11:15:00
    ???
     
     
     
    PeterDoBrasil
    Guest
    #7
    0
    25.10.2015 11:23:00
    Echo Reply /ip firewall filter add action=jump chain=forward comment=“JUMP TO PING” dst-address-list=5G icmp-options=0 in-interface=bridge jump-target=ping log=yes log-prefix=Ping protocol=icmp src-address-list=5G_Client_Addresses

    add action=add-src-to-address-list address-list=“deny ping from ->” address-list-timeout=15m chain=ping comment=“PING ACTION” in-interface=bridge

    add action=add-dst-to-address-list address-list=“deny ping to <-” address-list-timeout=15m chain=ping comment=“PING ACTION” in-interface=bridge

    add action=drop chain=ping comment=“PING ACTION” in-interface=bridge icmp-options=0

    Это верно?
     
     
     
    Страницы: 1
    Читают тему
    +7 495 320-55-52
    info@mikrotik.moscow
    Электрозаводская, Бауманская
    Москва, ул. Бакунинская, 84с21
    Конфиденциальность Оферта
    © 2025 «Mikrotik.Moscow»
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры