+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Белый список MAC-адресов фильтра моста

Белый список MAC-адресов фильтра моста, RouterOS

technonotux

Guest

13.12.2015 13:41:00

Привет, Сценарий сети LAN с ПК==========Mikrotik-RB2011ui2hnd-RM (настроен как мост)==========DHCP=====Главный маршрутизатор

Я создал мост Mikrotik между двумя сетями. Мой DHCP-сервер находится на другом конце, где IP-адреса резервируются по MAC-адресу, и в сети нет никаких коммутаторов уровня 2 или 3. Но я заметил, что многие неавторизованные пользователи вручную назначают себе IP-адреса и получают доступ к сети, что вызывает конфликты IP-адресов. Поэтому я подумал, что фильтрация по MAC через мост может помочь, так как я не хочу трогать настройки шлюза и DHCP, которые не находятся под моим контролем.

У меня есть вопросы по этому сценарию.

Я использую RB2011 (в сети около 150 клиентов).
- Хороший ли это метод — создавать правила фильтрации моста и пропускать только нужные MAC-адреса, блокируя все остальные?
- Есть ли способ создать список разрешённых MAC-адресов и создавать фильтры на основе этого списка? Если да, объясните, пожалуйста, как это сделать.
- Есть ли в Mikrotik другой способ, помимо использования коммутаторов уровня 2 или 3, чтобы ограничить доступ неавторизованных пользователей, которые вручную назначают IP-адреса для доступа в сеть?

technonotux

Guest

14.02.2016 08:40:00

У меня проблемы с контролируемым ARP, ниже приведена конфигурация. Я настроил DHCP с опцией ARP lease и также настроил мост (bridge) с интернетом как ARP reply-only. Но, как я уже объяснял, я использую Mikrotik только как мост к моему основному роутеру (к которому у меня нет доступа, но я могу попросить их один раз добавить статическую ARP-запись). В этом случае, если любой мой клиент вручную укажет статический IP, он сможет получить доступ и к основному роутеру, и к интернету, например 192.168.1.110. Как я могу заблокировать доступ к этому IP? Если клиент не получил IP через DHCP и не залогинился в хотспот, доступа в интернет у него быть не должно.

[admin@MikroTik] > /export
jan/01/2002 02:17:05 by RouterOS 6.34.1
software id = W3NB-CA6B

/interface bridge
add admin-mac=E4:8D:8C:23:B2:E3 arp=reply-only auto-mac=no comment=defconf name=bridge

/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
set [ find default-name=ether6 ] name=ether6-master
set [ find default-name=ether7 ] master-port=ether6-master
set [ find default-name=ether8 ] master-port=ether6-master
set [ find default-name=ether9 ] master-port=ether6-master
set [ find default-name=ether10 ] master-port=ether6-master

/ip neighbor discovery
set ether1 discover=no
set bridge comment=defconf

/ip hotspot profile
add dns-name=login.myhotspot.com hotspot-address=192.168.0.1 name=hsprof1

/ip pool
add name=default-dhcp ranges=192.168.0.100-192.168.3.254

/ip dhcp-server
add add-arp=yes address-pool=default-dhcp disabled=no interface=bridge name=defconf

/ip hotspot
add address-pool=default-dhcp disabled=no interface=bridge name=hotspot1 profile=hsprof1

/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=ether6-master
add bridge=bridge comment=defconf interface=sfp1

/ip address
add address=192.168.0.1/22 comment=defconf interface=bridge network=192.168.0.0

/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1

/ip dhcp-server network
add address=192.168.0.0/22 comment=defconf gateway=192.168.1.110

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip dns static
add address=192.168.0.1 name=router

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=“place hotspot rules here” disabled=yes
add chain=input comment=“defconf: accept ICMP” protocol=icmp
add chain=input comment=“defconf: accept established,related” connection-state=established,related
add action=drop chain=input comment=“defconf: drop all from WAN” in-interface=ether1
add action=fasttrack-connection chain=forward comment=“defconf: fasttrack” connection-state=established,related
add chain=forward comment=“defconf: accept established,related” connection-state=established,related
add action=drop chain=forward comment=“defconf: drop invalid” connection-state=invalid
add action=drop chain=forward comment=“defconf: drop all from WAN not DSTNATed” connection-nat-state=!dstnat connection-state=new in-interface=ether1

/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=“place hotspot rules here” disabled=yes
add action=masquerade chain=srcnat comment=“defconf: masquerade” out-interface=ether1

/ip hotspot user
add name=admin password=abc

/tool mac-server
set [ find default=yes ] disabled=yes add interface=bridge

/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes add interface=bridge

ZeroByte

Guest

14.02.2016 14:48:00

Похоже, я пропустил тот момент, что ваш Mikrotik работает в режиме моста. Эффективно сделать это на мосту нельзя — мосты работают только на уровне 2 (ethernet) и практически не участвуют в работе с IP. В мосту можно фильтровать ARP с помощью правил брандмауэра моста, но поскольку нет списка адресов для MAC, вам придется создавать правило в цепочке для каждого MAC-адреса, который вы хотите разрешить. Если в вашей сети много устройств, это сильно замедлит работу, особенно для тех, чьи MAC-адреса в конце цепочки. Вероятно, лучше сделать двойной NAT и использовать Mikrotik как маршрутизатор. Тогда вы сможете заставить выполнять требование DHCP с помощью reply-only ARP. К тому же, похоже, что Mikrotik придется настраивать как DHCP-сервер, так как опция «add arp for lease» недоступна для DHCP relay.

technonotux

Guest

14.02.2016 15:09:00

В случае двойного NAT я не могу применить фильтр контента, управляемый основным роутером? Какой есть другой вариант? Возможно ли настроить маршрутизацию в одной подсети без NAT? Или есть ли более подходящее решение для фильтрации контента на Mikrotik? За исключением OpenDNS, так как я не могу применять политики по IP.

ZeroByte

Guest

14.02.2016 15:15:00

Если хочешь избежать двойного NAT, и если главный маршрутизатор позволяет добавлять статические маршруты, тогда измени диапазон IP в своей локальной сети на что-то новое, например, 192.168.128.0/22, а затем настрой на главном маршрутизаторе статический маршрут для этой новой сети через WAN IP Mikrotik, например, 192.168.1.2. После этого не делай NAT на Mikrotik. Контент-фильтр всё равно будет видеть IP клиентов и сможет фильтровать по ним.

technonotux

Guest

14.02.2016 15:29:00

Главный роутер — это Linux Box с настроенным Squid, я могу добавить статический маршрут на нём. Предполагаю, что ваше предложение выглядит так:

Главный роутер:
WAN-интерфейс — идёт к провайдеру с публичным IP
LAN-интерфейс (192.168.1.1/24) — подключен к Mikrotik RB2011 на Ether3 (192.168.1.2/24)

Mikrotik RB2011:
Ether2 (192.168.128.1/22) — идёт в локальную сеть.

Нужно ли добавлять какие-то маршруты на Mikrotik? Какой адрес шлюза нужно настроить на клиентских устройствах в LAN: 192.168.128.1 или 192.168.1.1?

Подскажите команды, если нужны, для Linux и Mikrotik.

ZeroByte

Guest

14.02.2016 16:25:00

Если основной роутер — это squid-бокс, можно настроить его так, чтобы он работал не в проходном режиме, а позволял Mikrotik быть основным маршрутизатором. Сделайте отдельный интерфейс для squid и отдельную сеть для squid, например: IP squid 192.168.255.2/24, ether5 192.168.255.1/24 (убедитесь, что ether5 не является портом-подчинённым коммутатору и не подключён к мосту).

В Mikrotik:
IP LAN Mikrotik 192.168.0.1/24
DHCP на Mikrotik с опцией добавления статического ARP, интерфейс LAN с arp=reply-only
Правило mangle:
chain=prerouting in-interface=lan protocol=tcp dst-port=80 action=mark-routing new-routing-mark=proxy
(это настраивает политическую маршрутизацию, чтобы перенаправлять HTTP на squid-прокси)

Далее добавьте политику маршрутизации:
/ip route add dst=0.0.0.0/0 gateway=192.168.255.2 routing-mark=proxy

И, наконец, srcnat:
/ip firewall nat add chain=srcnat out-interface=wan action=masquerade
(это базовое правило NAT)

На Linux-боксе:
Нужно установить маршрут по умолчанию через 192.168.255.1 и добавить такое правило в iptables:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

Вы также можете попробовать перенаправлять HTTPS на прокси, но, скорее всего, это вызовет предупреждения о сертификате. Если текущая настройка у вас работает, то эта новая должна работать тоже.

В общем, squid-прокси теперь будет получать только HTTP (и, возможно, HTTPS, если добавить ещё одно правило mangle для порта 443 и соответствующее правило REDIRECT для порта 443 на Linux-боксе), а весь остальной трафик будет идти напрямую в интернет, без прохождения через squid-бокс.

technonotux Guest	#8 0 14.02.2016 16:35:00 Спасибо, но Squid Box не полностью настраиваемый, это IPCop фаервол, где конфигурация Squid ограничена.

ZeroByte

Guest

14.02.2016 16:45:00

Если это сделано как прозрачный встроенный прокси, он будет работать даже при наличии политики маршрутизации, если файрвол позволяет создавать статические маршруты — просто направьте диапазон LAN на 192.168.255.1 (в моём примере) статическим маршрутом. Потом можно выделить ещё один интерфейс на Mikrotik для WAN-интерфейса прокси: 192.168.254.1/24 — Mikrotik (и дефолтный шлюз файрвола), 192.168.254.2/24 — WAN-интерфейс файрвола. По сути, политика маршрутизации отправляет веб-трафик (и любой другой, который хотите фильтровать) через файрвол, а всё остальное идёт напрямую в интернет.

technonotux Guest	#10 0 14.02.2016 17:28:00 Ситуация такая: только что выяснил у ИТ-специалистов, что в Squid (ipcop) нет свободного слота для установки дополнительной сетевой карты, так что текущий вариант, возможно, не подходит. Пожалуйста, посмотрите, нет ли другого решения.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры