Ja, Sie können Clients über den Mac in den Filterregeln blockieren, indem Sie die Option „src-mac-Adresse“ auf der Registerkarte „Erweitert“ verwenden.

In MikroTik RouterOS ist die Firewall sehr leistungsstark und flexibel und ermöglicht eine Vielzahl von Regeln und Konfigurationen zur Steuerung des Netzwerkverkehrs. Das Blockieren des Zugriffs auf Geräte ausschließlich auf der Grundlage der MAC-Adresse der Firewall ist jedoch weder der Standard noch die direkteste Vorgehensweise, da die MikroTik-Firewall hauptsächlich auf der Ebene der Netzwerkschicht (Schicht 3) und darüber arbeitet, während die MAC-Adressen auf der Ebene der Netzwerkebene (Schicht 2) und darüber operieren Verbindungsebene (Schicht XNUMX).

Allerdings gibt es in RouterOS auch andere Möglichkeiten, den Zugriff auf der Grundlage von MAC-Adressen einzuschränken. Diese Lösungen eignen sich jedoch möglicherweise besser für die Steuerung des Zugriffs auf das Wi-Fi-Netzwerk oder über bestimmte Ethernet-Schnittstellen und weniger für die Filterung des Datenverkehrs auf Netzwerkebene. Hier stelle ich einige Alternativen vor:

1. Wi-Fi-Zugriffskontrolle durch MAC

Wenn Sie den Zugriff auf einen WLAN-Hotspot auf einem MikroTik einschränken möchten, können Sie die Funktion „Zugriffsliste“ in den WLAN-Einstellungen verwenden, um Clients basierend auf ihren MAC-Adressen zuzulassen oder zu verweigern.

2. Brückenfilterung

Bei kabelgebundenen Netzwerken können Sie Bridge-Filterung verwenden, um den Datenverkehr von bestimmten MAC-Adressen über Bridges zu blockieren. Dies ist eine effektive Möglichkeit, den Zugriff auf Layer-2-Ebene zu steuern.

3. DHCP-Server-Leasing

Eine andere Möglichkeit besteht darin, den DHCP-Server auf dem MikroTik so zu konfigurieren, dass er bestimmte IP-Adressen bekannten MAC-Adressen zuordnet und dann die Firewall verwendet, um den Datenverkehr zu oder von diesen spezifischen IP-Adressen zu blockieren. Dies erfordert einen zusätzlichen Mapping-Schritt zwischen der MAC-Adresse und der IP-Adresse, führt jedoch effektiv zum gewünschten Ergebnis, indem die Fähigkeiten der Firewall genutzt werden.

4. Verwendung von Skripten

Sie können in RouterOS Skripte schreiben, die dynamisch Firewall-Regeln basierend auf der MAC-Adresse hinzufügen. Dies wäre jedoch komplexer und würde eine Skriptlogik erfordern, um zunächst die MAC-Adresse in eine IP-Adresse aufzulösen.

Überlegungen

Das Blockieren des Zugriffs auf Geräte basierend auf MAC-Adressen ist möglicherweise nicht immer die sicherste Lösung, da MAC-Adressen gefälscht werden können (MAC-Spoofing). Für die Sicherheit auf Netzwerkebene ist es vorzuziehen, Lösungen zu implementieren, die auf höheren Schichten basieren, wie z. B. Firewalls auf Netzwerkebene, starke Authentifizierung und Verschlüsselung.

Zusammenfassend lässt sich sagen, dass die MikroTik-Firewall zwar nicht für die direkte Filterung nach MAC-Adressen ausgelegt ist, es aber in RouterOS alternative Methoden gibt, mit denen Sie den Zugriff effektiv kontrollieren und einschränken können. Die Wahl der Methode hängt von Ihrer spezifischen Netzwerkkonfiguration und Ihren Sicherheitsanforderungen ab.