Блокируем не используемые статические адреса ЛВС

Базовая функциональность RouterOS
pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Блокируем не используемые статические адреса ЛВС

Сообщение pen07 » 12 дек 2018, 07:59

Добрый день!
Подскажите как сделать следующие действие.
У нас на предприятие локальная сеть статическая, выдано 130 айпи адресов. Но на днях заметил люди приносят свои ноутбуки в водить следующий за занятым и сидят в локальной сети предприятия. Я хотел бы ограничить порты шары чтобы не могли ходит по сетевым папкам.
Получается я сделал отдельный Address List добавил туда айпи адреса которые не используются. Вот только не работает, нужна помощь.

Пример
Сделал правило.

Код: Выделить всё

add chain = forward src-address=192.168.0.0/24 protocol = tcp src-port = 139,445  action = drop address-list="Blocked"
add chain = forward src-address=192.168.0.0/24 protocol = udp src-port = 137,137  action = drop address-list="Blocked"
Список Blocked

Код: Выделить всё

add address=192.168.0.131 list=Blocked
add address=192.168.0.132 list=Blocked
add address=192.168.0.133 list=Blocked
add address=192.168.0.134 list=Blocked
add address=192.168.0.135 list=Blocked
и т.д.

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka » 12 дек 2018, 09:35

Приветствую.

Если сетевые папки расположены на компьютерах в той же подсети — то трафик между клиентом и сервером не маршрутизируется. Т.е. ip firewall filter тут не работает.

Если машины, к которым надо ограничить доступ, сидят на разных портах роутера, то можно использовать правила bridge filter для блокировки.

Если все подключены к одному коммутатору — то локальный трафик до роутера не доходит, надо либо блокировать на самом коммутаторе, либо сегментировать сеть, чтобы трафик ходил через роутер.

pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 » 12 дек 2018, 10:13

Chupaka писал(а):
12 дек 2018, 09:35
Приветствую.

Если сетевые папки расположены на компьютерах в той же подсети — то трафик между клиентом и сервером не маршрутизируется. Т.е. ip firewall filter тут не работает.

Если машины, к которым надо ограничить доступ, сидят на разных портах роутера, то можно использовать правила bridge filter для блокировки.

Если все подключены к одному коммутатору — то локальный трафик до роутера не доходит, надо либо блокировать на самом коммутаторе, либо сегментировать сеть, чтобы трафик ходил через роутер.
Да в одному коммутатору подключены и в одном порту.

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka » 12 дек 2018, 11:06

Значит, роутер стоит в сторонке и молча наблюдает, но вмешаться не может. Если коммутатор неуправляемый — на этом сказка заканчивается, к сожалению.

Аватара пользователя
Samych
Сообщения: 6
Зарегистрирован: 05 фев 2018, 14:23
Откуда: Архангельск

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Samych » 12 дек 2018, 11:19

Ну, раз в одном порту, то... "КинА не будет.."
Но... если посмотреть немножко в другую сторону.
Если сеть предприятия и 130 адресов, рискну предположить, что есть домен.
Рискну пойти дальше - контроллер(ы) домена,DNS, DHCP и т.п. присутствуют.
Что мешает в настройках учетной записи пользователя выставить разрешение "Log On To" и указать там только его рабочий ПК.
Соответственно, все "шары" в настройках доступа оставить только "Прошедшие проверку", а уже в безопасности выставлять необходимые разрешения.
Этим мы разрешим, например, Ивану Ивановичу доступ к ресурсу только с его рабочего ПК и не дадим доступа с его ноутбука, даже есть он введет туда свои учетные данные (сетевые имя и пароль).
Однако, это может навредить, если тот же Иван Иванович должен работать удаленно (командировка и т.п.)
С уважением, Олег.

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka » 12 дек 2018, 12:47

Рискну предположить, что если адреса вбиваются статикой - ни о каком DHCP и прочем AD речи не идёт...

pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 » 12 дек 2018, 13:10

Chupaka писал(а):
12 дек 2018, 12:47
Рискну предположить, что если адреса вбиваются статикой - ни о каком DHCP и прочем AD речи не идёт...
Есть dns, wins - сервера.
Доменнной сети нет.
Подскажите а как тогда можно контролировать не занятые статические ip адреса?
Может как то через проски поставить миркотик, далее сервер с прокси, а далее в лвс..
И создать список не занятых ip и дропать их...
Какие есть мысли....

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka » 12 дек 2018, 13:20

Ещё раз: на роутере дропать вы можете только трафик, который проходит через роутер. Т.е., например, доступ в Интернет. А если кто-то приносит компьютер, настраивает адрес статикой и лазит по локалке - вы можете роутер даже выключить, всё равно доступ к сетевым ресурсам будет, потому что компьютеры общаются между собой напрямую.

pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 » 12 дек 2018, 13:31

Chupaka писал(а):
12 дек 2018, 13:20
Ещё раз: на роутере дропать вы можете только трафик, который проходит через роутер. Т.е., например, доступ в Интернет. А если кто-то приносит компьютер, настраивает адрес статикой и лазит по локалке - вы можете роутер даже выключить, всё равно доступ к сетевым ресурсам будет, потому что компьютеры общаются между собой напрямую.
Это я понял.
А как можно контролировать ip выданные и ip в резерве так скажем...
То есть человек пришел к примеру подключил пк, настроил себе сетевую карту пытается войти а там облом.

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka » 12 дек 2018, 13:51

А DHCP поднять совсем не хотите? Он как раз для этого, и если машина говорит, что адрес занят - сервер, по идее, будет предлагать следующий из пула.

А при такой аппаратной базе на "а там облом" можно воздействовать только административными методами: находить и лишать премии, например :) Перед этим, конечно, официально запретить такое. Но если запретить не удаётся - просто возглавить, настроив DHCP... Благо, это всего несколько кликов мышкой :)

Ответить