محدودیت در میکروتیک
سلام دوستان / من میخام تو ی سوییچ میکروتیک مثلا به پورت 3 فقط سیستمی که مک اون X باشه اجازه داشته باشه از dhcp آی پی بگیره و به شبکه دسترسی داشته باشه و اگه بعنوان مثال کسی لپتاپ از خونه آورد و ب کابل شبکه زد نتونه ip بگیره . حالا من دو تا راه رو امتحان کردم و بازم نشد و به پورت مثلا 3 هر سیستمی که وصل میکنم راحت ip میگیره و دسترسی داره .
اول این راهو امتحان کردم نشد
راه دوم هم تو mangle هم connection و هم packet رو مارک کردم و بعد اونا رو accept یا drop کردم بازم نشد . چکار باید بکنم واسه اعمال این محدودیت؟
9 پاسخ
من این ویدئوی شما رو قبلا دیدم و با همین سناریو رفتم جلو و باز هم با وجود تعریف مک خاص، همه سیستمایی که ب اون ether وصل میکنم از dhcp که ویندوز سرور هست ip میگیرن. هم مارک کانکشن و هم مارک پکت و هم reply-only/ با هیچکدوم کار نکرد. پکت مچ میشه ولی بازم میاد از dhcp ویندوز سرور ip شو میگیره و به همه جای شبکه دسترسی داره .
سناریو که بنده خدمتون عرض کردم با DHCP روتر کارمی کنه و نباید DHCP را روی ویندوز سرور راه اندازی کنید. همانطور که در ویدیو مشاهده کردید کاملا براتون تست کردم.
نکته : چنانچه سوئیچ ، قبل از روتر میکروتیک دارید لپ تاپ اگر به شبکه متصل شود با سیستم های شما می توانند ارتباط برقرار کنند، اما ارتباط با روتر و اینترنت نخواهند داشت و چنانچه سوئیچ میکروتیک است بهتر است بحث reply-only را روی سویئچ core اجرا کنید تا ارتباط با سیستم ها هم نداشته باشد.
کاربر افت
چند تا پیشنهاد
1- DHCP با یک GATE WAY جعلی ران کنید و به سیستم IP و GATEWAY واقعی رو دستی وارد کنید
2- بقیه اینترفیس ها رو دان کنید
3- وایرلستونو قطع کنید یا بذاریدش تو بریج که بجایی وصل نباشه
4- فایروال برای مک ست کنید
5- از حشره کش استفاده کنید
DHCP همونطور که میدونید ادرس گیتوی و رنج ایپی رو میده شما تو هر شبکه میتونی تعدادی DHCP ران کنید و این اشتباه و خطر امنیت شبکو رو داره چون دارید به کل کلاینت ها میگید جایی برن که نیست ولی اسیب نداره
قضیه DHCP جعلی هم اینه که وقتی شما گیتویت جعلی باشه یا موجود نباشه نمیتونی روت بشی و خارج بشی
این یک را سادست که فقط کسی که ادرس گیتوی اصلی رو داره بتونه به اون وصل بشه و این ادرس هم میتونید استاتیک تو تنظیمات شبکتون قسمت IPV4 هم ادرس IP هم GATEWAY رودستی تغییر بدین
در ضمن به اون پورتتون هم میتونید چند IP اختصاص بدین و برای یکشون روت بنویسید
اینجوری میشه :
DHCP با یک رنج دیگه (متفاوت با رنج IP گیتوی ) یا همون رنج و گیتوی جعلی ران کنید
IP دستی به گیتوی اصلی و در رنج دیگه یا همون رنج ست کنید سیستم باید گیتوی رو ببینه
خوب اگه روی 450 سناریو reply-only راه اندازی کنید و مک و ای پی اون سیستم لاک کنید دیگه غیر از سیستم، ترافیک دستگاه دیگری عبور نمی کند.
استفاده از فایروال برای این کار سربار زیادی برای cpu دارد
:)
مورد 1 رو تست میکنم اگه اینم نشد دیگه ناچار میرم مورد 5 ...
در مورد این fake dhcp بیشتر توضیح میدید که چیه کلا داستانش و همه پورتا باید تو اون بریج باشن ک dhcp روش ران میشه ؟! و مشکلی ایجاد نمیکنه؟!
‐---------------------------------------------------
چیزی که مشخصه باید با reply-only درست بشه ولی نمیشه، میگم ممکنه بخاطر dhcp server ویندوزی باشه؟!
درسته ؛ سناریوی شما رو ک قبلا با همین dhcp خود میکروتیک تست کردم و با هر دو مدل کار کرد ولی این جایی که میخام پیاده سازیش کنم یکم عجیب غریبه .
ی همچین دیاگرامی داره شبکه ای ک میخام این کارو ک اون pc0 که به 450 وصله نتونه با چیزی غیر از سیستمی که داره به شبکه لاگین کنه رو بگیرم. این سوییچ ها هر کدوم در یک نقطه مجزان و ارتباطشون با لینک وایرلسه. و اون قسمتی که 450 هست ی کاربر آفتی داره که لپتاپ و ... زیاد میاره از خونه و ی قسمتی هم هست که نمیشه مدیریتش کرد و هر کاری میتونه کنه.
سلام
سویئچ میکروتیک پارامتر سخت افزاری جهت محدود کردن یک پورت به یک مک مشخص نداره و روش فایروال هم اصلا کار صحیح نیست چراکه نرم افزار انجام می شود و باعث بالا رفتن CPU Usage می شود.
برای این کار می توانید با یک سناریو بسیار جالب کاری کنید که از ورود مک جدید (لپ تاپ یا هر دستگاه دیگری) جلوگیری شود.
آموزش ویدیوی جلوگیری از تغییر ای پی و ورود دستگاه جدید به شبکه