כן, אתה יכול לחסום לקוחות דרך ה-mac בכללי הסינון באמצעות אפשרות הכתובת src-mac בכרטיסייה המתקדמת.
ב-MikroTik RouterOS, חומת האש חזקה וגמישה מאוד, המאפשרת מגוון רחב של כללים ותצורות לשלוט בתעבורת הרשת. עם זאת, חסימת גישה למכשירים המבוססת אך ורק על כתובת ה-MAC מחומת האש היא לא הרגיל ולא הנוהג הישיר ביותר, שכן חומת האש של MikroTik פועלת בעיקר ברמת שכבת הרשת (שכבה 3) ומעלה, בעוד שכתובות ה-MAC הללו פועלות ב- רמת קישור (שכבה 2).
עם זאת, ישנן דרכים אחרות ב-RouterOS להגביל גישה על סמך כתובות MAC, אם כי פתרונות אלו עשויים להתאים יותר לשליטה בגישה לרשת ה-Wi-Fi או דרך ממשקי Ethernet ספציפיים, ופחות מתאימים לסינון תעבורה ברשת ברמה. כאן אני מציג כמה חלופות:
1. בקרת גישה ל-Wi-Fi על ידי MAC
אם ברצונך להגביל גישה לנקודה חמה של Wi-Fi ב-MikroTik, תוכל להשתמש בפונקציונליות "רשימת גישה" בהגדרות ה-WLAN כדי לאפשר או לדחות לקוחות על סמך כתובות ה-MAC שלהם.
2. סינון גשר
עבור רשתות קוויות, אתה יכול להשתמש בסינון גשר כדי לחסום תעבורה מכתובות MAC מסוימות על פני גשרים. זוהי דרך יעילה לשלוט בגישה ברמת שכבה 2.
3. שרת DHCP ליסינג
אפשרות נוספת היא להגדיר את שרת ה-DHCP ב-MikroTik למיפוי כתובות IP ספציפיות לכתובות MAC ידועות ולאחר מכן להשתמש בחומת האש כדי לחסום תעבורה אל או מכתובות IP ספציפיות אלו. הדבר מצריך שלב מיפוי נוסף בין כתובת ה-MAC לכתובת ה-IP, אך משיג למעשה את התוצאה הרצויה באמצעות היכולות של חומת האש.
4. שימוש בסקריפטים
אתה יכול לכתוב סקריפטים ב-RouterOS שמוסיפים באופן דינמי כללי חומת אש המבוססים על כתובת MAC, אם כי זה יהיה מורכב יותר וידרוש לוגיקה של סקריפט כדי לפתור תחילה את כתובת ה-MAC לכתובת IP.
שיקולים
חסימת גישה למכשירים על סמך כתובות MAC עשויה לא תמיד להיות הפתרון המאובטח ביותר, שכן ניתן לזייף כתובות MAC (זיוף MAC). לאבטחה ברמת הרשת, עדיף ליישם פתרונות המבוססים על שכבות גבוהות יותר, כגון חומות אש של שכבת רשת, אימות חזק והצפנה.
לסיכום, בעוד שחומת האש של MikroTik אינה מיועדת לסנן ישירות לפי כתובות MAC, ישנן שיטות חלופיות בתוך RouterOS שיכולות לעזור לך לשלוט ולהגביל את הגישה בצורה יעילה. בחירת השיטה תהיה תלויה בתצורת הרשת ובצורכי האבטחה הספציפיים שלך.
אין תגיות לפוסט הזה.