Привязка к порту Mikrotik

Автор:

Evgenij_Rudchenko

– Posted on Сентябрь 20, 2010Рубрики: Настройка оборудования Mikrotik

Рейтинг

Оценка: 4Голосов: 4Комментарии: 11

В этой статье продолжим тему безопасности сети. Привяжем клиента к определенному порту по mac-адресу.

Покупаем на выбор, Mikrotik RouteBoard RB493AH, Mikrotik RouterBoard 1100, Mikrotik RouterBoard 750G, Mikrotik RouterBoard RB/450g, Mikrotik RouterBoard RB493.

Далее заходим в mikrotik и первым делом настраиваем bridge, как описано в статье Mikrotik Bridge.

Переходим в Bridge на вкладку Filters.

Первым делом, запрещаем прохождение для всех mac-адресов через mikrotik routerboard. Как вы наверное знаете, за проходящий трафик через mikrotik routerboard отвечает цепочка forward. Поэтому, в новом правиле выбираем Chain:forward. Далее указываем для какого интерфейса будет применяться данное правило. Выбираем In. Interface: то есть тот, к которому подключен компьютер пользователя. Также выбираем 800(IP) для MAC Protokol-Num.

Рис.1. Создаем запрещающее правило в Mikrotik routerboard.

Рис.2. Вкладка Action, действие DROP.

Перейдя на вкладку Action, выбираем DROP.

После этого правила весь трафик с любых IP-адресов и подсетей будет блокироваться.

Переходим к созданию разрешающего правила.

Рис.3. Разрешающее правило в mikrotik routerboard.

Для того чтобы разрешить компьютер клиента, необходимо создать разрешающее правило с определенным mac-адресом. Это правило похоже на предыдущее, за исключением того, что нужно указать, для какого mac-адреса разрешить доступ. В Src. MAC Address указываем нужный mac-адрес. Переходим на вкладку Action.

Рис.4. Вкладка Action, действие Accept.

На вкладке Action нужно выбрать accept, то есть разрешить.

Рис.5. Список правил.

Оба правила созданы. Запрещающее правило прекрасно выполняет свое назначение. Об этом свидетельствует трафик, который в него попадает. А вот разрешающее правило бездействует. Это происходит потому, что оно находится после запрещающего. Для того, чтобы разрешающее правило выполняло свое предназначение, оно должно быть раньше запрещающего. Кликаем на нем левой клавишей мыши, и удерживая ее, перетягиваем правило вверх.

Рис.6. Измененный список правил.

Теперь мы видим, что и через разрешающее правило проходит трафик только для того mac-адреса, который мы указали, и только для этого порта. Остальной трафик блокируется. Эти действия исключают возможность подмены mac-адресов пользователями.

Евгений Рудченко специально для asp24.

Вас может заинтересовать

 

2218 2350 грн грн 84 у.е.

Mikrotik RouterBoard RB450G

Купить

 

(Снят с производства)

Mikrotik RouterBoard RB493AH

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Большое спасибо за Вашу помощь! Мы скоро исправим ошибку!

Сообщение не было отправлено. Пожалуйста, попробуйте еще раз.

Сообщение об ошибке

Ошибка:

Ваш комментарий (не обязательно):

Да Отмена

• Facebook
• Twitter
• Google+

Теги: mikrotik-routeboard-rb493ah, mikrotik-routerboard-1100, mikrotik-routerboard-750g, mikrotik-routerboard-rb450g, mikrotik-routerboard-rb493, безопасность сети, привязка к порту Mikrotik, привязка клиента к определенному порту по mac-адресу

Об авторе Evgenij_Rudchenko

Ник для комментариев: tx

11 Comments

1. Ответить

   ssid

   Отправлено 23.10.2010 в 04:10

   //Теперь мы видим, что и через разрешающее правило проходит трафик только для того mac-адреса, который мы указали, и только для этого порта. Остальной трафик блокируется. Эти действия исключают возможность подмены mac-адресов пользователями.//
   КАКИМ образом исключает возможность подмены?

   • Ответить

     Виталий

     Отправлено 15.12.2014 в 11:05

     Ну чего непонятного? Ну поменяет кто-то, и что? Этот мак и только Ether5 все, пусть меняет до усиру. Или еще тетка сбегает местами кабеля на портах поменяет???
2. Ответить

   Андрей

   Отправлено 24.10.2010 в 21:13

   задаюсь темже вопросом

3. Ответить

   tx

   Отправлено 25.10.2010 в 08:20

   Таким что, через определенный порт разрешено прохождение, трафика для заданного мас адреса. Смена мас адреса в данном случае не поможет.

4. Ответить

   Саша

   Отправлено 15.12.2010 в 05:05

   Странно, но у меня не работало правило forward. Поставил in.

5. Ответить

   Саша

   Отправлено 15.02.2011 в 00:58

   Оно вообще не работает.если запрет то не у кого а если с маком перетощил верх тогда у всех есть.

6. Ответить

   web

   Отправлено 18.02.2011 в 23:33

   тоже не работает версия микротик 3,30

7. Ответить

   dh28

   Отправлено 25.08.2011 в 07:54

   не ну типо ограничить обычного пользователя получится. Канэщна если подменить мак, то проканает. Но разрешенный мак ещё узнать надо. Тядовая тетка этого точно не сумеет. Если мак+ип, то ещё рулезнее. А если ещё по паролю, то ваще ты крутой мегаодминчег будешь. Но по моему это уже диагноз. проще служебку накатать на злобного юзера, чем насиловать пользователей и себя разными наваротами.. И так иногда тетки хлопот доставляют будь здоров..

8. Ответить

   Belfigor

   Отправлено 13.01.2016 в 15:01

   А можно как-то сделать скрипт, который в случае обнаружения на порту левого мак адреса, будет в лог записывать о попытке подключения левого мака?
9. Ответить

   Андрей

   Отправлено 14.10.2016 в 09:26

   тупой рак написал эту статью – так как не работает! проверенно на MikroTik RB2011 UiAS-2HnD — подключил бук с другим маком и инет пашет!!! и все сделано без ошибок как здесь написано! так что ссылку на видео в студию – где это работает как оно задумывалось! (где оно реально работает )
10. Ответить

    Volant

    Отправлено 05.04.2018 в 06:36

    не работает, т.к, в статье ошибка – chain=forward, а должно быть chain=input, тогда все отрабатывает так, как нужно.