Ja, je kunt clients via de Mac blokkeren in de filterregels met behulp van de src-mac-adresoptie op het tabblad Geavanceerd.

In MikroTik RouterOS is de firewall zeer krachtig en flexibel, waardoor een breed scala aan regels en configuraties mogelijk is om het netwerkverkeer te controleren. Het blokkeren van de toegang tot apparaten uitsluitend op basis van het MAC-adres van de firewall is echter niet de standaard en ook niet de meest directe praktijk, aangezien de MikroTik-firewall primair op het niveau van de netwerklaag (laag 3) en hoger werkt, terwijl die MAC-adressen op het niveau van de netwerklaag werken. linkniveau (laag 2).

Er zijn echter andere manieren in RouterOS om de toegang te beperken op basis van MAC-adressen, hoewel deze oplossingen mogelijk geschikter zijn voor het controleren van de toegang tot het Wi-Fi-netwerk of via specifieke Ethernet-interfaces, en minder geschikt voor het filteren van verkeer op het niveaunetwerk. Hier presenteer ik enkele alternatieven:

1. Wi-Fi-toegangscontrole via MAC

Als u de toegang tot een Wi-Fi-hotspot op een MikroTik wilt beperken, kunt u de functionaliteit "Toegangslijst" in de WLAN-instellingen gebruiken om clients toe te staan ​​of te weigeren op basis van hun MAC-adressen.

2. Brugfiltering

Voor bekabelde netwerken kunt u Bridge Filtering gebruiken om verkeer van bepaalde MAC-adressen via bridges te blokkeren. Dit is een effectieve manier om de toegang op Laag 2-niveau te controleren.

3. Leasing van DHCP-servers

Een andere optie is om de DHCP-server op de MikroTik te configureren om specifieke IP-adressen toe te wijzen aan bekende MAC-adressen en vervolgens de firewall te gebruiken om verkeer van of naar die specifieke IP-adressen te blokkeren. Dit vereist een extra mappingstap tussen het MAC-adres en het IP-adres, maar bereikt effectief het gewenste resultaat met behulp van de mogelijkheden van de firewall.

4. Scripts gebruiken

U kunt in RouterOS scripts schrijven die dynamisch firewallregels toevoegen op basis van het MAC-adres, hoewel dit complexer zou zijn en scriptlogica zou vereisen om het MAC-adres eerst om te zetten in een IP-adres.

overwegingen

Het blokkeren van de toegang tot apparaten op basis van MAC-adressen is niet altijd de veiligste oplossing, omdat MAC-adressen kunnen worden vervalst (MAC-spoofing). Voor beveiliging op netwerkniveau verdient het de voorkeur oplossingen te implementeren die zijn gebaseerd op hogere lagen, zoals netwerklaagfirewalls, sterke authenticatie en encryptie.

Concluderend: hoewel de MikroTik-firewall niet is ontworpen om rechtstreeks op MAC-adressen te filteren, zijn er binnen RouterOS alternatieve methoden die u kunnen helpen de toegang effectief te controleren en te beperken. De keuze van de methode hangt af van uw specifieke netwerkconfiguratie en beveiligingsbehoeften.