Jump to content
  • 0

Филтриране по мак адрес

sauronnet

Asked by sauronnet,

 Share

Question

sauronnet Contributor

sauronnet

Posted
Posted

Здравейте имам за основен рутер микротик rb2011 след който съм свързал tp-link  ax50 конфигуриран в access point режим. 

Това което искам да направя е филтриране по мак адрес - от самия микротик знам  как да го направя, но филтрирането работи само за wif мрежата генерирана от микротик (което е нормално). 

Реално към tp-link access point  можеш да се вържеш без проблем и dhcp сървъра на микротика си ти назначава ip. Как да кажа на микротика да филтрира съответно лана на който е вързан tp-link accesspoint така че ако мак адреса не е добавен в адрес листа на микротик да не можеш да се закачиш на access point

Link to comment
Share on other sites

14 answers to this question

Recommended Posts

  • 0
  • Administrator
JohnTRIVOLTA Proficient

JohnTRIVOLTA

Posted
  • Administrator
Posted
Преди 5 часа, sauronnet написа:

Здравейте имам за основен рутер микротик rb2011 след който съм свързал tp-link  ax50 конфигуриран в access point режим. 

Това което искам да направя е филтриране по мак адрес - от самия микротик знам  как да го направя, но филтрирането работи само за wif мрежата генерирана от микротик (което е нормално). 

Реално към tp-link access point  можеш да се вържеш без проблем и dhcp сървъра на микротика си ти назначава ip. Как да кажа на микротика да филтрира съответно лана на който е вързан tp-link accesspoint така че ако мак адреса не е добавен в адрес листа на микротик да не можеш да се закачиш на access point

Здравейте,

Може да пробвате да филтрирате по мак адрес през филтъра на самият бридж: 

/interface bridge filter add chain=input action=drop in-interface=ether5 in-bridge=bridge_lan src-mac-address=11:22:33:44:55:66/FF:FF:FF:FF:FF:FF

Замества те нужното - ин интерфейса е бридж порта/етернет порта/ на който е свързано APто, избирате и бриджа, замествате мак адреса!

Link to comment
Share on other sites
  • 0
sauronnet
Contributor

sauronnet

Posted
  • Author
Posted
На 22.12.2022 г. at 8:04, JohnTRIVOLTA написа:

Здравейте,

Може да пробвате да филтрирате по мак адрес през филтъра на самият бридж:

/interface bridge filter add chain=input action=drop in-interface=ether5 in-bridge=bridge_lan src-mac-address=11:22:33:44:55:66/FF:FF:FF:FF:FF:FF 

/interface bridge filter add chain=input action=drop in-interface=ether5 in-bridge=bridge_lan src-mac-address=11:22:33:44:55:66/FF:FF:FF:FF:FF:FF

Замества те нужното - ин интерфейса е бридж порта/етернет порта/ на който е свързано APто, избирате и бриджа, замествате мак адреса!

Може ли малко допълнителна информация защото не се ориентирам, благодаря.

Link to comment
Share on other sites
  • 0
  • Administrator
JohnTRIVOLTA Proficient

JohnTRIVOLTA

Posted
  • Administrator
Posted (edited)
Преди 7 часа, sauronnet написа:

Може ли малко допълнителна информация защото не се ориентирам, благодаря.

Кое точно не е ясно? Имате бридж меню, където имате филтър, който трябва да ползвате!

Може да позволите необходимите мак адреси и всичко друго да забраните.

Сега също се сещам, че ако искате само определени мак адреси да получат адрес от DHCP Server може да опишите статични leases и да му кажете само тях да раздава static-only на сървъра!

Edited by JohnTRIVOLTA
Link to comment
Share on other sites
  • 0
sauronnet
Contributor

sauronnet

Posted
  • Author
Posted
Преди 16 часа, JohnTRIVOLTA написа:

Кое точно не е ясно? Имате бридж меню, където имате филтър, който трябва да ползвате!

Може да позволите необходимите мак адреси и всичко друго да забраните.

Сега също се сещам, че ако искате само определени мак адреси да получат адрес от DHCP Server може да опишите статични leases и да му кажете само тях да раздава static-only на сървъра!

А в случай, когато устройството ( компютър, лаптоп) е със зададено статично IP от самата ОС, тогава реално не се вижда в DHCP сървъра на LEASES.

В този случай такова устройство ще може ли да се свърже с мрежата (реално то вече си има IP и DHCP сървъра няма нужда да му назначава такова) ???

 

Link to comment
Share on other sites
  • 0
  • Administrator
JohnTRIVOLTA Proficient

JohnTRIVOLTA

Posted
  • Administrator
Posted (edited)

Задаване статично на лизовете е в рутера или казaнаo по друг начин резервиране на IP адрес към мак адрес, като целта е DHCP  да раздава само тях -резервираните /address pool=static only в DHCP Server/. Така дори някой да се свърже друг неописан клиент, жично или безжично, той няма да получи IP адрес!

 

Edited by JohnTRIVOLTA
Link to comment
Share on other sites
  • 0
sauronnet
Contributor

sauronnet

Posted
  • Author
Posted
Преди 11 часа, JohnTRIVOLTA написа:

Задаване статично на лизовете е в рутера или казaнаo по друг начин резервиране на IP адрес към мак адрес, като целта е DHCP  да раздава само тях -резервираните /address pool=static only в DHCP Server/. Така дори някой да се свърже друг неописан клиент, жично или безжично, той няма да получи IP адрес!

 

Да-това го разбирам, но това, което питам е :

В моя случай имам жично свързан DVR със зададено статично IP от настройките на самия DVR - 192.168.1.9, което IP не фигурира в DHCP Leases в Mikrotik. Също така имам windows базиран компютър отново със зададено IP от самия windows и той отново не се вижда в самия микротик DHCP сървър. ( и двете устройства са си в мрежата и имат достъп до интернет). -  Виждат се в микротик единствено в IP/ARP list.

Тогава ако реално се каже DHCP допуска само мак-адреси с вече зададени статични IP-та назначени от самия DHCP, устройствата, които до момента са си работели без нуждата от DHCP би трябвало да "зобиколят" ограничението според мен .. -бъркам ли ?

Link to comment
Share on other sites
  • 0
  • Administrator
JohnTRIVOLTA Proficient

JohnTRIVOLTA

Posted
  • Administrator
Posted
преди 45 минути, sauronnet написа:

Да-това го разбирам, но това, което питам е :

В моя случай имам жично свързан DVR със зададено статично IP от настройките на самия DVR - 192.168.1.9, което IP не фигурира в DHCP Leases в Mikrotik. Също така имам windows базиран компютър отново със зададено IP от самия windows и той отново не се вижда в самия микротик DHCP сървър. ( и двете устройства са си в мрежата и имат достъп до интернет). -  Виждат се в микротик единствено в IP/ARP list.

Тогава ако реално се каже DHCP допуска само мак-адреси с вече зададени статични IP-та назначени от самия DHCP, устройствата, които до момента са си работели без нуждата от DHCP би трябвало да "зобиколят" ограничението според мен .. -бъркам ли ?

Резервирането на адрес в DHCP не е ограничение, а разрешение кой да вземе автоматично IP адрес с цел да се предотврати случаен клиент да стане част от L3 мрежата. Ако искате и ограничение говорихме вече за филтъра в бриджа, а ако искате тотално управление може да премините и към статични записи в ARP!

Link to comment
Share on other sites
  • 0
  • Administrator
111111 Rising Star

111111

Posted
  • Administrator
Posted

Опитваш да обединиш 2 различни системи като игнорираш едната.

Ако тп-линк-а няма безжично криптиране през радиус начинанието се обезсмисля.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites
  • 0
sauronnet
Contributor

sauronnet

Posted
  • Author
Posted
На 8.01.2023 г. at 14:06, JohnTRIVOLTA написа:

Резервирането на адрес в DHCP не е ограничение, а разрешение кой да вземе автоматично IP адрес с цел да се предотврати случаен клиент да стане част от L3 мрежата. Ако искате и ограничение говорихме вече за филтъра в бриджа, а ако искате тотално управление може да премините и към статични записи в ARP!

Колега виждам, че си доста на ясно с микротик и отделяш внимание на повечето въпроси и даваш компетентно мнение, разбирам, че по някога е изнервящо да те питат едно и също, но това е от гледната точка на човека на който са му ясни нещата. - ние сега се учим и за това сме и в темата за начинаещи !!!

Все пак с риск да ти е досадно, аз отново ще помоля за по-подробна информация (конкретните стъпки за използване на филтър в бридж ) относно това, което искам да направя. А то е :

1- ви рутер микротик.

2-ри рутер Тплинк конфигуриран като AP.

Искам микротика да филтрира по мак адрес самия лан порт на който е закачен AP така че клиент закачен без значение на лан или wifi към AP да има мрежа само ако мак адреса е разрешен в микротика. 

Ако имаш желание и нерви ще съм благодарен. Благодаря и поздрави

На 9.01.2023 г. at 9:01, 111111 написа:

Опитваш да обединиш 2 различни системи като игнорираш едната.

Ако тп-линк-а няма безжично криптиране през радиус начинанието се обезсмисля.

Да разбирам че няма как да вържа AP след микротика и то да е с рестрикцийте и защитата на микротика. Идеята ми е да си разширя wifi то защото 2011 ми е малко слабичко като добавя AP като същевременно запазя защитена мрежата си

Link to comment
Share on other sites
  • 0
  • Administrator
111111 Rising Star

111111

Posted
  • Administrator
Posted
преди 14 минути, sauronnet написа:

Да разбирам че няма как да вържа AP след микротика и то да е с рестрикцийте и защитата на микротика. Идеята ми е да си разширя wifi то защото 2011 ми е малко слабичко като добавя AP като същевременно запазя защитена мрежата си

Разбери го че на лан порта на микротика, някой е сложил един суич, на който се боцкат знайни и незнайни елементи.

Ограничи достъпа с DHCP като окажеш достъп само на описаните в leases, като това само няма да дава адреси

Зависи в каква среда се ползва има доста различни похвати.

Ако е за в къщи няма смисъл.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites
  • 0
  • Administrator
JohnTRIVOLTA Proficient

JohnTRIVOLTA

Posted
  • Administrator
Posted (edited)
Преди 3 часа, sauronnet написа:

.....то искам да направя. А то е :

1- ви рутер микротик.

2-ри рутер Тплинк конфигуриран като AP.

Искам микротика да филтрира по мак адрес самия лан порт на който е закачен AP така че клиент закачен без значение на лан или wifi към AP да има мрежа само ако мак адреса е разрешен в микротика. 

Ако имаш желание и нерви ще съм благодарен. Благодаря и поздрави

Ами отиваме на филтриране от бриджа. Свържи всички клиенти на тп-линка. После от интерфейси, бридж, хостс ще видиш всички нужни мак адреси на клиентите. На всеки адрес ще добавиш такова правило, като заместваш адреса който е с нулите и вход интерфейса, ако не е свързан тплинка на етер5 също ще го подмениш с нужният: 

/interface/bridge/filter/add chain=input in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Като добавиш всички адреси последно добавяш това правило: 

/interface/bridge/filter/add chain=input in-interface=ether5 action=drop

После същата процедура с адресите , като добавяш всичко това и със следното правило: 

/interface/bridge/filter/add chain=forward in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Последно добавяш правило: 

/interface/bridge/filter/add chain=forward in-interface=ether5 action=drop

Мисля ти стана рзбираема логиката: първо разрешаваме на вход и накрая блокираме всичко останало, после и за преминаващата верига е същото!

Edited by JohnTRIVOLTA
Link to comment
Share on other sites
  • 0
stancheff Rookie

stancheff

Posted
Posted
Преди 12 часа, JohnTRIVOLTA написа:

Ами отиваме на филтриране от бриджа. Свържи всички клиенти на тп-линка. После от интерфейси, бридж, хостс ще видиш всички нужни мак адреси на клиентите. На всеки адрес ще добавиш такова правило, като заместваш адреса който е с нулите и вход интерфейса, ако не е свързан тплинка на етер5 също ще го подмениш с нужният:

/interface/bridge/filter/add chain=input in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept 

/interface/bridge/filter/add chain=input in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Като добавиш всички адреси последно добавяш това правило:

/interface/bridge/filter/add chain=input in-interface=ether5 action=drop 

/interface/bridge/filter/add chain=input in-interface=ether5 action=drop

После същата процедура с адресите , като добавяш всичко това и със следното правило:

/interface/bridge/filter/add chain=forward in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept 

/interface/bridge/filter/add chain=forward in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Последно добавяш правило:

/interface/bridge/filter/add chain=forward in-interface=ether5 action=drop 

/interface/bridge/filter/add chain=forward in-interface=ether5 action=drop

Мисля ти стана рзбираема логиката: първо разрешаваме на вход и накрая блокираме всичко останало, после и за преминаващата верига е същото!

 

Тука има една подробност. Трябва на телефончетата на всички, които ще имат достъп до тази мрежа, влезеш и да изключиш рандомизирането на мак адреса

mceclip8.png

  • Like 1
Link to comment
Share on other sites
  • 0
sauronnet
Contributor

sauronnet

Posted
  • Author
Posted
преди 51 минути, stancheff написа:

 

Тука има една подробност. Трябва на телефончетата на всички, които ще имат достъп до тази мрежа, влезеш и да изключиш рандомизирането на мак адреса

mceclip8.png

Това е полезно.

Преди 13 часа, JohnTRIVOLTA написа:

Ами отиваме на филтриране от бриджа. Свържи всички клиенти на тп-линка. После от интерфейси, бридж, хостс ще видиш всички нужни мак адреси на клиентите. На всеки адрес ще добавиш такова правило, като заместваш адреса който е с нулите и вход интерфейса, ако не е свързан тплинка на етер5 също ще го подмениш с нужният:

/interface/bridge/filter/add chain=input in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept 

/interface/bridge/filter/add chain=input in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Като добавиш всички адреси последно добавяш това правило:

/interface/bridge/filter/add chain=input in-interface=ether5 action=drop 

/interface/bridge/filter/add chain=input in-interface=ether5 action=drop

После същата процедура с адресите , като добавяш всичко това и със следното правило:

/interface/bridge/filter/add chain=forward in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept 

/interface/bridge/filter/add chain=forward in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Последно добавяш правило:

/interface/bridge/filter/add chain=forward in-interface=ether5 action=drop 

/interface/bridge/filter/add chain=forward in-interface=ether5 action=drop

Мисля ти стана рзбираема логиката: първо разрешаваме на вход и накрая блокираме всичко останало, после и за преминаващата верига е същото!

Благодаря за наистина изчерпателното обяснение и отделеното време. Поздрави.

  • Like 1
Link to comment
Share on other sites
  • 0
stancheff Rookie

stancheff

Posted
Posted
Преди 23 часа, sauronnet написа:

Това е полезно.

Благодаря за наистина изчерпателното обяснение и отделеното време. Поздрави.

Нещата напоследък се променят драматично. Ето документацията за рандомизацията на MAC адреса за Android

https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior

Основното, което трябва да се знае:

For Android 10 and 11, the framework uses persistent randomization for all networks when MAC randomization is enabled.

Това накратко означава, че ако си закачен за някаква мрежа, MAC адреса няма да се променя докато не се ресетне телефона, макар че си е генериран случайно. За android 12 и нататък вече важи друго:

Under the non-persistent randomization type, which is used for some networks in Android 12 or higher, the Wi-Fi module re-randomizes the MAC address at the start of every connection or the framework uses the existing randomized MAC address to connect to the network. The Wi-Fi module re-randomizes the MAC address in the following situations:

The DHCP lease duration has expired and more than 4 hours have elapsed since the device last disconnected from this network.

The current randomized MAC for the network profile was generated more than 24 hours ago. MAC address re-randomization only happens at the start of a new connection. Wi-Fi won't actively disconnect for the purpose of re-randomizing a MAC address.

If none of these situations apply, the framework uses the previously randomized MAC address to connect to the network.

Това, което правеше Apple преди години с рандомизацията на MAC адреса, сега става стандарт за Android, но ако имате старо телефонче, което не се ъпдейтва вече, няма опасност да ви се смени мак адреса. 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept