اینترنت دادن به کلاینت ها با استفاده از mangle

سلام دوست عزیز

بله شدنی هست

باید کانکشن و پکت های سیستم هایی که می خواهید بهشون اینترنت بدید رو با Mangle علامت گذاری کنید بعد یه Default Route واسه اون پکت های علامت گذاری شده بنویسید

من خودم Mangle رو انتخاب می کنم، بعدش مانور بیشتری میتونید روی بسته ها بدید، فقط باید کاری کنید که کاربر نتونه با تغییر آدرس IP خودش قوانین رو دور بزنه، به نظر من بهتره واسه کسانی که می خواهید بهشون اینترنت بدید یه Net ID جدا (یعنی یه رنج شبکه جدا) انتخاب کنید

بعد با مکانیزم های محافظتی لایه 2 مثل IP Source Guard (البته اگه سوئیچ هاتون سیسکو باشه) از تغییر دادن IP توسط کاربر جلوگیری کنید

من با محدود کردن ARP و تعریف اونا به صورت Static تو میکروتیک کار نکردم ولی حتماً امکانی هست برای غیر فعال کردن Dynamic Learning مک آدرس ها توسط پروتکل ARP و دستی تعریف کردن اونا که برای شبکه های بزرگ توصیه نمیشه ولی برای شبکه های کوچیک مشکلی نداره.

فقط اینم به یاد داشته باشید اگه در بین کاربراتون کاربر حرفه ای آشنا به شبکه های کامپیوتری هست اون شخص میتونه به راحتی با تغییر MAC Address کارت شبکش محدودیت ARP رو دور بزنه

بهترین و غیر قابل نفوذترین روش استفاده از سوئیچ های 2960 سیسکو و فعال کردن IP Source Guard به همراه Port-Security هست

نیازی به mangle نیست و اصولا برای اینکار نیست منگل. arp هم ارتباطی به این موضوع نداره.

آدرس هایی که باید اینترنت داشته باشند رو وارد یک address list کنید.

از مسیر ip > firewall > address list

سپس در nat ای که نوشتید ، بجای src-adress از src-address-list در قسمت advance همون nat استفاده کنید.

/ip firewall nat add chain=srcnat src-address-list=<list_name> action=masquerade