Miktrotik + DHCP server + фильтрация по MAC

1

1

Добрый день (или ночь, кому как).

Имеется Микротик роутер, на нём крутиться DHCP сервер. Микротик включён в тупую сеть, без серверов, с тупыми же свичами. Есть ли возможность на микротике сделать какой-либо список МАК-адресов, что-бы микротик раздавал IP-адреса только тем клиентам, кто записан в этот список, и не раздавал IP-адреса тем, кого в этом списке нету? Ну и может за компанию он ещё сможет в правило firewall'а добавлять те адреса которые он только что выдал?

С микротиками до сего месяца не сталкивался, поэтому просьба сильно не ржать, если задача пустяковая, просто ткните что и где читать.

Заранее ответы тем кто любит потыкать носом, но не посоветовать по теме: - В гугл ходил, он весь засран советами типа - создать пул адресов, зайти во вкладочку Leases, там жмакнуть «Make static», и т.д. Этот метод меня не устраивает, т.к. при добавлении нового клиента надо будет совершать лишние телодвижения - «Включите пул, дождитесь клиента, нажмите make static, отключите пул». А я хочу так - просто мак добавил в список, и пошёл дальше чаёк пить. Да и не надо мне статической привязки Мак<->IP, у клиента может меняться IP.

- Сеть совсем тупая и плоская, так что Radius пока не вариант. А отсеять ненужных пользователей надо сейчас.

Ссылка

←	gogoc The server failed to authenticate user.

btrfs перестал монтироваться.

→

микротике сделать какой-либо список МАК-адресов, что-бы микротик раздавал IP-адреса только тем клиентам, кто записан в этот список, и не раздавал IP-адреса тем, кого в этом списке нету

Прописать в dhcp-server -> leases разрешенные amc(и ip к ним заодно), либо фильтроватm средствами Bridge->Filter(там тоже есть особенность, фильтровать можно только с бриджовых портов). На ряде устройств есть L2 ACL в меню Switch.

«Включите пул, дождитесь клиента, нажмите make static, отключите пул». А я хочу так - просто мак добавил в список, и пошёл дальше чаёк пить.

Нажимаешь на [+] в leases и добавляешь, ждать никого не надо.

Deleted
(06.09.15 15:43:38 MSK)
Последнее исправление: log4tmp 06.09.15 15:43:57 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 06.09.15 15:43:38 MSK

Вариант. Премного благодарен.

А ip адрес в dhcp-server -> leases можно не задавать? И может есть всё-таки возможность сразу и в правило firewall'а выдаваемый адрес закинуть? Сейчас буду экспериментировать, но может ты уже знаешь ответы на эти вопросы :)

Toten_Kopf ★
(06.09.15 15:59:19 MSK) автор топика

Ответ на: комментарий от Toten_Kopf 06.09.15 15:59:19 MSK

А ip адрес в dhcp-server -> leases можно не задавать?

Не пробовал так делать, завтра поэксперементирую.

И может есть всё-таки возможность сразу и в правило firewall'а выдаваемый адрес закинуть?

Создавать правило когда dhcp отдает определенный адрес? У меня был скрипт, который раз в мину смотрел leases и если появлялся новый ip добавлял для него правило9не в firewall правда, но суть та-же)

Deleted
(06.09.15 18:18:45 MSK)

Ответ на: комментарий от Deleted 06.09.15 18:18:45 MSK

Походу разобрался - надо создать пул адресов, как при обычной настройке dhcp сервера на микротик. А затем безо всяких жмаканий на кнопке «Make static», зайти в подменю «Lease» и там создать новую запись, но НЕ указывать в этой записи IP адрес, а указать тот самый пул адресов, который создали заранее. Таким образом создаётся список нужных МАК адресов, но IP адреса, при этом, клиенты получают динамически. В принципе это и была программа минимум, из того что я хотел.

Если не затруднит - выложи скриптик пожалуйста. Попробую прикрутить. И если я правильно понял то при истечении аренды адреса тоже можно будет запускать скриптик, который сможет удалять адрес из firewall'а?

Toten_Kopf ★
(06.09.15 23:55:35 MSK) автор топика

Ответ на: комментарий от Toten_Kopf 06.09.15 23:55:35 MSK

:foreach i in=[/ip dhcp-server lease find] do={
 :if ([/ip dhcp-server lease get $i status] = "bound") do={
  #boud - активные адреса
  :put [/ip dhcp-server lease get $i active-mac-address]
 } else={
  #все остальные(waiting) не активные
  :put [/ip dhcp-server lease get $i last-seen]
 }
}

Если говорить про фаервол, то лучше использовать адрес листы и добавлять-удалять адреса в них(так не надо задумываться куда вставлять правило). И да, перед добавлением лучше делать проверку на то что адрес уже там есть(иначе вылетит с ошибкой).

Deleted
(08.09.15 12:17:31 MSK)

Ответ на: комментарий от Deleted 08.09.15 12:17:31 MSK

Спасибо, за скриптик. Буду пробовать ковырять.

Toten_Kopf ★
(08.09.15 22:01:59 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	gogoc The server failed to authenticate user.

Admin

btrfs перестал монтироваться.

→

Похожие темы