IP+MAC

Все о специализированных сетевых программных продуктах
Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

IP+MAC

Сообщение sherwood 26 май 2010, 11:12

подскажите как заблокировать на определенном интерфейсе все MAC
кроме определенных?
то есть хочу сделать привязку к порту определенных IP+MAC, как ACL в управляемых свичах.
и где можно посмотреть в RB 433AH какие MACи ходят через интерфейсы...
NATа на RB433AH нет...

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: IP+MAC

Сообщение KirillTs 26 май 2010, 11:59

Добавляем разрешенные привязки MAC+IP:
/ip arp add address=123.123.123.2 interface=ether1 mac-address=00:00:00:00:00:00:00

Запрещаем интерфейсу отвечать, создавая динамические связки MAC+IP:
/interface ethernet set ether1 arp=reply-only

А MAC'и в ARP таблице есесьно =) ip arp

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: IP+MAC

Сообщение sherwood 26 май 2010, 12:29

спасибо, попробую с правилами..
в консоль (да и в Winbox) посмотрел ip arp print но там всего одна связка моего IP...
или я опять что то не понял....мне нужно посмотреть какие IP+MAC бегают на интерфейсах,
что бы потом сделать правила...
забыл сказать, что все интерфейсы находятся в бридже, может с этим связано?
в бридж-хост вижу МАСи и на каких интерфейсах ходят, но нет IP...

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: IP+MAC

Сообщение Igoras 26 май 2010, 16:08

Бридж это ниже чем IP, это Ethernet, поэтому в ARP ничего и не будет. Надо блочить где-то в bridge-firewall...

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: IP+MAC

Сообщение sherwood 26 май 2010, 21:21

Igoras писал(а):Бридж это ниже чем IP, это Ethernet, поэтому в ARP ничего и не будет. Надо блочить где-то в bridge-firewall...

да наверное заблочить как раз то не проблема...
где посмотреть какие IP+MaC проходят через интерфейс?

Аватара пользователя
KirillTs

 
Сообщения: 962
Зарегистрирован:
11 дек 2006, 11:29

Re: IP+MAC

Сообщение KirillTs 26 май 2010, 21:49

вроде как тут...
bridge>hosts

Там же есть fiter, думаю надо в фильтре создать правило на drop всего, а потом для каждого разрешенного мака accept по src. mac address

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: IP+MAC

Сообщение sherwood 26 май 2010, 21:58

там я уже был...
там одни MACи с интерфейсами...
конечно вычислить я это могу и по другому, но думал что есть что то штатное...
а разве в Firewall нельзя создать правила, одно которое будет блокировать все,
а другие со связкой IP+MAC?
или это будет очень ресурсоемко?

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: IP+MAC

Сообщение Igoras 27 май 2010, 00:16

sherwood писал(а):как ACL в управляемых свичах.

Интересно, где ж это видано управляемые свитчи 2 уровня с привязкой по IP+MAC?
2 уровень - это MAC, 3 уровень - IP. Другого не дано, и в bridge hosts IP-адреса ну никак увидеть не получится, раз уже они транзитом проходят.

Фильтр в микротике продвинутый, анализирует в пакетах не только Ethernet-header, но и глубже. Поэтому задать правило, разрешающее проходить определенной связке IP+MAC возможно, думаю, оно не сильно будет грузить процессор. Как получить список ип+мак? да проще простого. Запускаем tools -> IP scan, выбираем интерфейс, опционально диапазон сканирования, запускаем и радуемся. :)

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: IP+MAC

Сообщение sherwood 27 май 2010, 01:08

Igoras писал(а):Интересно, где ж это видано управляемые свитчи 2 уровня с привязкой по IP+MAC?

DES 3526
Igoras писал(а):Как получить список ип+мак? да проще простого. Запускаем tools -> IP scan, выбираем интерфейс, опционально диапазон сканирования, запускаем и радуемся. :)

спасибо, список получил, но он есть только в бридже, на остальных интерфейсах -0....

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: IP+MAC

Сообщение Igoras 27 май 2010, 10:04

sherwood писал(а):DES 3526

какой-то это уже уровень 2.5 честно говоря. Чистый 2 уровень про ип-адреса не знал и знать не может.

sherwood писал(а):спасибо, список получил, но он есть только в бридже, на остальных интерфейсах -0

Ну так собственно мы знаем через tools ip-scan комбинацию IP+MAC, а через bridge hosts - MAC+Interface, мне подсказать, как из этого можно получить IP+MAC+Interface (с учетом уникальности MAC)? Конечно, это наверное не очень удобно, но видимо такая особенность реализации.

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: IP+MAC

Сообщение sherwood 27 май 2010, 21:04

Igoras писал(а):Ну так собственно мы знаем через tools ip-scan комбинацию IP+MAC, а через bridge hosts - MAC+Interface, мне подсказать, как из этого можно получить IP+MAC+Interface (с учетом уникальности MAC)? Конечно, это наверное не очень удобно, но видимо такая особенность реализации.

дело было не в том как вообще получить МАС, я их и с биллинга могу списать и с DES 3526...
спрашивал про то есть ли в RB такая функция типа как Connect list где все это отображается...
теперь понял что нет...
всем спасибо, все свободны :)
только не уходите далеко, есть еще к Вам вопросы...
будем скоро с Вами настраивать эту связку для доступа через RB... :)


Вернуться в Сетевое программное обеспечение

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10

cron