Чужой DHCP сервер и DHCP snooping

[hitec]

Добрый день. Прошу поделится решением частой проблемы.
1. Mikrotik + развернутый на нем dhcp сервер, а все порты кроме LAN1 (выход в интернет) объединены в bridge.
2. В порт 3 (условно) подключен коммутатор на пример на 24 порта, и в сеть через него могут подключить чужой DHCP сервер.
Как правило часть устройство начинает получать IP адреса от этого чужого DHCP сервера.
Вопрос, как блокировать подобные чужие DHCP сервера?
Для использования опции DHCP snooping, как я понимаю, в сети должен быть внешний DHCP сервер (не DHCP сервер mikrotik-а), и подключен он должен быть в отдельный порт, который мы будем считать Trusted.
А что если нет никакого внешнего доверенного DHCP сервера подключенного к отдельному порту? И DHCP сервер используется, не внешний, а встроенный mikrotik-а?

[Chupaka]

На роутере вы можете заблокировать этот чужой DHCP-сервер так, что на других портах, кроме третьего, устройства будут от вас адрес получать. На коммутаторе же ничто, я так понимаю, не мешает чужому раздавать адреса на устройства, подключенные к этому же коммутатору. Так что DHCP-защиту надо настраивать именно на коммутаторе (ну, схему "отдельный VLAN на каждый порт коммутатора, чтобы они напрямую друг друга не видели" я не рассматриваю). Так что изучайте возможности самого коммутатора.

[hitec]

Коммутатор не управляемый, это просто разветвитель на 24 порта, за ним в сети могут быть как компьютеры пользователей так и какой-нибудь wifi роутер с включенным dhcp сервером, о котором узнаешь когда только он начинает перетаскивать пользователей, и приходится ходить искать куда и кто его воткнул.
Фильтрация firewall-raw может помочь?
Или поднимать radius нужно?

[Chupaka]

При чём тут радиус? Общение пользователей, подключенных к коммутатору, происходит абсолютно без ведома роутера. И он этому общению помешать не может. Так что вам поможет только алерт на неизвестные DHCP-серверы (IP -> DHCP Server -> Alerts). Там можно скриптом, например, в Телеграм сообщение отправлять для быстрого реагирования.

[hitec]

Да это все сделано уже, в логах вижу IP и MAC чужого DHCP сервера, как мне имея IP и MAC заблокировать трафик с него?
Настройки типа ip firewall filter add src-mac-address=XX:FA:C4:BB:YY:XX action=drop chain=forward не работают, все равно продолжаю видеть в логах alert и неизвестном dhcp сервере.

[Chupaka]

Вы можете заблокировать трафик, который идёт через роутер. Делается это в фильтре бриджа, а не файрвола. Но трафик от чужого сервера до устройств, подключенных к остальным 22 портам коммутатора, вы никак не заблокируете.

[hitec]

Да, блокировка на bridge удалась. Спасибо.