Блокируем не используемые статические адреса ЛВС

Базовая функциональность RouterOS
Ответить
pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Блокируем не используемые статические адреса ЛВС

Сообщение pen07 »

Добрый день!
Подскажите как сделать следующие действие.
У нас на предприятие локальная сеть статическая, выдано 130 айпи адресов. Но на днях заметил люди приносят свои ноутбуки в водить следующий за занятым и сидят в локальной сети предприятия. Я хотел бы ограничить порты шары чтобы не могли ходит по сетевым папкам.
Получается я сделал отдельный Address List добавил туда айпи адреса которые не используются. Вот только не работает, нужна помощь.

Пример
Сделал правило.

Код: Выделить всё

add chain = forward src-address=192.168.0.0/24 protocol = tcp src-port = 139,445  action = drop address-list="Blocked"
add chain = forward src-address=192.168.0.0/24 protocol = udp src-port = 137,137  action = drop address-list="Blocked"
Список Blocked

Код: Выделить всё

add address=192.168.0.131 list=Blocked
add address=192.168.0.132 list=Blocked
add address=192.168.0.133 list=Blocked
add address=192.168.0.134 list=Blocked
add address=192.168.0.135 list=Blocked
и т.д.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka »

Приветствую.

Если сетевые папки расположены на компьютерах в той же подсети — то трафик между клиентом и сервером не маршрутизируется. Т.е. ip firewall filter тут не работает.

Если машины, к которым надо ограничить доступ, сидят на разных портах роутера, то можно использовать правила bridge filter для блокировки.

Если все подключены к одному коммутатору — то локальный трафик до роутера не доходит, надо либо блокировать на самом коммутаторе, либо сегментировать сеть, чтобы трафик ходил через роутер.
pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 »

Chupaka писал(а): 12 дек 2018, 09:35 Приветствую.

Если сетевые папки расположены на компьютерах в той же подсети — то трафик между клиентом и сервером не маршрутизируется. Т.е. ip firewall filter тут не работает.

Если машины, к которым надо ограничить доступ, сидят на разных портах роутера, то можно использовать правила bridge filter для блокировки.

Если все подключены к одному коммутатору — то локальный трафик до роутера не доходит, надо либо блокировать на самом коммутаторе, либо сегментировать сеть, чтобы трафик ходил через роутер.
Да в одному коммутатору подключены и в одном порту.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka »

Значит, роутер стоит в сторонке и молча наблюдает, но вмешаться не может. Если коммутатор неуправляемый — на этом сказка заканчивается, к сожалению.
Аватара пользователя
Samych
Сообщения: 7
Зарегистрирован: 05 фев 2018, 14:23
Откуда: Архангельск

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Samych »

Ну, раз в одном порту, то... "КинА не будет.."
Но... если посмотреть немножко в другую сторону.
Если сеть предприятия и 130 адресов, рискну предположить, что есть домен.
Рискну пойти дальше - контроллер(ы) домена,DNS, DHCP и т.п. присутствуют.
Что мешает в настройках учетной записи пользователя выставить разрешение "Log On To" и указать там только его рабочий ПК.
Соответственно, все "шары" в настройках доступа оставить только "Прошедшие проверку", а уже в безопасности выставлять необходимые разрешения.
Этим мы разрешим, например, Ивану Ивановичу доступ к ресурсу только с его рабочего ПК и не дадим доступа с его ноутбука, даже есть он введет туда свои учетные данные (сетевые имя и пароль).
Однако, это может навредить, если тот же Иван Иванович должен работать удаленно (командировка и т.п.)
С уважением, Олег.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka »

Рискну предположить, что если адреса вбиваются статикой - ни о каком DHCP и прочем AD речи не идёт...
pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 »

Chupaka писал(а): 12 дек 2018, 12:47 Рискну предположить, что если адреса вбиваются статикой - ни о каком DHCP и прочем AD речи не идёт...
Есть dns, wins - сервера.
Доменнной сети нет.
Подскажите а как тогда можно контролировать не занятые статические ip адреса?
Может как то через проски поставить миркотик, далее сервер с прокси, а далее в лвс..
И создать список не занятых ip и дропать их...
Какие есть мысли....
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka »

Ещё раз: на роутере дропать вы можете только трафик, который проходит через роутер. Т.е., например, доступ в Интернет. А если кто-то приносит компьютер, настраивает адрес статикой и лазит по локалке - вы можете роутер даже выключить, всё равно доступ к сетевым ресурсам будет, потому что компьютеры общаются между собой напрямую.
pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 »

Chupaka писал(а): 12 дек 2018, 13:20 Ещё раз: на роутере дропать вы можете только трафик, который проходит через роутер. Т.е., например, доступ в Интернет. А если кто-то приносит компьютер, настраивает адрес статикой и лазит по локалке - вы можете роутер даже выключить, всё равно доступ к сетевым ресурсам будет, потому что компьютеры общаются между собой напрямую.
Это я понял.
А как можно контролировать ip выданные и ip в резерве так скажем...
То есть человек пришел к примеру подключил пк, настроил себе сетевую карту пытается войти а там облом.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka »

А DHCP поднять совсем не хотите? Он как раз для этого, и если машина говорит, что адрес занят - сервер, по идее, будет предлагать следующий из пула.

А при такой аппаратной базе на "а там облом" можно воздействовать только административными методами: находить и лишать премии, например :) Перед этим, конечно, официально запретить такое. Но если запретить не удаётся - просто возглавить, настроив DHCP... Благо, это всего несколько кликов мышкой :)
pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 »

Chupaka писал(а): 12 дек 2018, 13:51 А DHCP поднять совсем не хотите? Он как раз для этого, и если машина говорит, что адрес занят - сервер, по идее, будет предлагать следующий из пула.

А при такой аппаратной базе на "а там облом" можно воздействовать только административными методами: находить и лишать премии, например :) Перед этим, конечно, официально запретить такое. Но если запретить не удаётся - просто возглавить, настроив DHCP... Благо, это всего несколько кликов мышкой :)
DHCP можно просто у нас есть рабочие станции у которых не желательно чтобы ip менялись.
Тут та вся фишка чтобы при подключение нового пк без одобрение пк в сетку не попадал.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka »

pen07 писал(а): 12 дек 2018, 14:15 DHCP можно просто у нас есть рабочие станции у которых не желательно чтобы ip менялись.
Им можно и статикой адрес прописать, и статическую запись в DHCP выделить, с фиксированным адресом - чего душа пожелает.
pen07 писал(а): 12 дек 2018, 14:15 Тут та вся фишка чтобы при подключение нового пк без одобрение пк в сетку не попадал.
Можно в DHCP настроить выдачу адресов только известным MAC-адресам, добавлять новым запись после одобрения.
А чтобы совсем в сетку не попадал - это нужен коммутатор с IP/ARP inspection и DHCP Snooping, чтобы если не получил адрес по DHCP - вообще никуда ходить не можешь, даже на соседнюю машину.
pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 »

Chupaka писал(а): 12 дек 2018, 14:30
pen07 писал(а): 12 дек 2018, 14:15 DHCP можно просто у нас есть рабочие станции у которых не желательно чтобы ip менялись.
Им можно и статикой адрес прописать, и статическую запись в DHCP выделить, с фиксированным адресом - чего душа пожелает.
pen07 писал(а): 12 дек 2018, 14:15 Тут та вся фишка чтобы при подключение нового пк без одобрение пк в сетку не попадал.
Можно в DHCP настроить выдачу адресов только известным MAC-адресам, добавлять новым запись после одобрения.
А чтобы совсем в сетку не попадал - это нужен коммутатор с IP/ARP inspection и DHCP Snooping, чтобы если не получил адрес по DHCP - вообще никуда ходить не можешь, даже на соседнюю машину.
У меня Mikrotik RB2011UiAS
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka »

Если вы про функциональность DHCP-сервера - то она у всех устройств под управлением RouterOS одинаковая, хоть у RB2011, хоть у cAP Lite.
pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 »

Сделал сеть dhcp пере домной два пк один известный адрес другой нет, и по ip и hostname вижу в сети его и доступны сетевые ресурсы.
Может в настройках где то на косячил..
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka »

С моего сообщения ничего не поменялось:
Chupaka писал(а): 12 дек 2018, 14:30 А чтобы совсем в сетку не попадал - это нужен коммутатор с IP/ARP inspection и DHCP Snooping, чтобы если не получил адрес по DHCP - вообще никуда ходить не можешь, даже на соседнюю машину.
Доступно будет. Не должно быть заморочек с использованием адресов, которые кто-то статикой нелегально прописал.
pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 »

Тогда я не понял что делаю не так, у меня Mikrotik RB2011UiAS
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka »

А почему вы думаете, что вы что-то делаете не так? Вы же не стесняйтесь писать, тут телепатов нет.

Что вы сделали? Чего ожидали в результате? Как случилось на самом деле?
pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 »

Chupaka писал(а): 13 дек 2018, 16:17 А почему вы думаете, что вы что-то делаете не так? Вы же не стесняйтесь писать, тут телепатов нет.

Что вы сделали? Чего ожидали в результате? Как случилось на самом деле?
Вот простенько все, кофигурация

Код: Выделить всё

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.0.1-192.168.0.135,192.168.0.137-192.168.0.254
/ip dhcp-server
add add-arp=yes address-pool=pool1 disabled=no interface=ether9 name=server1
/ip address
add address=192.168.0.0/24 interface=ether9 network=192.168.0.0
/ip arp
add address=192.168.0.135 interface=ether9 mac-address=00:17:08:38:23:57
/ip dhcp-server lease
add address=192.168.0.135 client-id=1:0:17:8:38:23:57 mac-address=\
    00:17:08:38:23:57 server=server1 use-src-mac=yes
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.136 netmask=24
Сервер работает получает адреса.
Хотел чтобы адрес ждал одобрение, подключается новый клиент и его сразу в сеть не пускает. Ждет одобрение оператора примеру.
А в данной конфигурации он всем присваивает адреса и люди работают сразу все и и все видно.
Может в блоклист закидывать...
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka »

pen07 писал(а): 13 дек 2018, 16:31 Хотел чтобы адрес ждал одобрение, подключается новый клиент и его сразу в сеть не пускает. Ждет одобрение оператора примеру.
А в данной конфигурации он всем присваивает адреса и люди работают сразу все и и все видно.
Всё верно, в конфигурации указано: "address-pool=pool1" - это значит, что для адресов, не прописанных статикой в leases, адреса будут браться из данного пула. Если сделать address-pool=static-only - тогда будут выдаваться только адреса, вручную забитые в leases.
pen07
Сообщения: 10
Зарегистрирован: 12 дек 2018, 07:41

Re: Блокируем не используемые статические адреса ЛВС

Сообщение pen07 »

Chupaka писал(а): 13 дек 2018, 17:00
pen07 писал(а): 13 дек 2018, 16:31 Хотел чтобы адрес ждал одобрение, подключается новый клиент и его сразу в сеть не пускает. Ждет одобрение оператора примеру.
А в данной конфигурации он всем присваивает адреса и люди работают сразу все и и все видно.
Всё верно, в конфигурации указано: "address-pool=pool1" - это значит, что для адресов, не прописанных статикой в leases, адреса будут браться из данного пула. Если сделать address-pool=static-only - тогда будут выдаваться только адреса, вручную забитые в leases.
Можете на кидать конфигурацию пробную чтобы я мог на двух пк оттестить?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокируем не используемые статические адреса ЛВС

Сообщение Chupaka »

Так накидал же, вроде. Просто смените значение одного параметра в текущей конфигурации.
Ответить