Mikrotik od zera – Statyczny adres w DHCP #04
Statyczny adres w DHCP
W przypadku urządzeń IoT, czy też drukarek sieciowy adres IP powinien być przypisany na stałe. Możemy tego dokonać poprzez ręczne ustawienie adresu w urządzeniu, bądź poprzez dodanie odpowiedniego wpisu w serwerze DHCP, gwarantującego przydzielenie zawsze tego samego adresu IP. Rezerwacja opiera się o MAC Address urządzenia. Przechodzimy na IP->DHCP Server klikamy w zakładkę Leases. Statyczny adres możemy dodać na klika sposobów. Klikając prawym przyciskiem myszy na podświetlony wpis wybierając z menu kontekstowego „Make Static”. Drugim sposobem jest dwukrotne kliknięcie w wiersz, i w nowym oknie kliknięcie w „Make Static”.
Blokada dostępu do Internetu
Dbając o bezpieczeństwo firmowej sieci, nie chcemy, aby drukarka sieciowa miała pełen dostęp do Internetu. Blokadę dostęp do Internetu możemy zrealizować na kilka sposobów. W tej cześci kursu skupimy się na najbardziej restrykcyjnej, a zarazem najprostszej, czyli zablokujemy ruch po adresie IP. Z bocznego menu wybieramy IP->Firewall i znakiem plusa dodajemy nowy wpis. W nowym oknie uzupełniamy pola:
- Chain: forward
- Src. Address: adres ip drukarki sieciowej
- Protocol: tcp
- Out. Interface: ether1, czyli interfejs WANowy
- Action: drop
Dla większego bezpieczeństwa możemy także dodać podobną regułę, zmieniając port na udp.
Polecany sprzęt
Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.
Do domu i małej firmy(SOHO): hAP AC Lite , hAP AC, RB4011, RB260GS, RB2011
LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit
Extender/Repeater: mAP lite, mAP
POE: hEX PoE
LAB: hEX lite
Średnia/Duża firma: CCR1036-12G-4S
Materiał Video
Monitoring Sieci skrypty w Mikrotiku
Firewall Layer 7 – blokowanie stron www
Mikrotik Capsman – Local Forwarding
About Author
Grzegorzu mam pytanie. Chcę osiągnąć następującą funkcjonalność:
1) Na MT mam bridge-a zaadresowanego 192.168.10.1/16
2) Potrzebuję, aby tylko adresy statyczne przypisane przy pomocy mac adresu miały dostęp do Internetu i dostawały adresy wyłącznie z puli 192.168.10.10-254
3) Wszystkie inne/nieznane urządzenia powinny otrzymywać z dhcp adresy 192.168.0.10-254 i być odcięte od dostępu do Internetu
Teoretycznie mógłbym to zrobić prościej i włączyć na interfejsie bridge-a ARP -> reply-only co z automatu odcięło by adresy dynamiczne od dostępu do Internetu. Niemniej nie spowoduje do, że nieznane urządzenia będą wpadały do puli adresowej 192.168.0.10-254.
Czy jest jakiś sposób, aby nieautoryzowane urządzenia otrzymywały automatycznie adresy z puli 192.168.0.10-254?
Natomiast urządzenia autoryzowane po mac adresie otrzymywały adresy z puli 192.168.10.10-254?
Czy MT potrafi coś takiego wykonać
Możesz zrobić statyczne wpisy na MT w DHCP->Leases, i na podstawie mac-addresów zrobić listę. Następnie na Firewallu ustawiłbym regułę na drop z całej 192.168.0.0/16(aczkolwiek to jest bardzo szeroka maska, na pewno potrzebujesz, aż tyle adresów?) z włączoną opcją negacji na src.address.list(a tu dodajesz liste ip, które maja mieć dostęp).