Tak, możesz blokować klientów poprzez komputer Mac w regułach filtrowania, korzystając z opcji adresu src-mac na karcie Zaawansowane.
W MikroTik RouterOS zapora sieciowa jest bardzo wydajna i elastyczna, umożliwiając szeroki zakres reguł i konfiguracji w celu kontrolowania ruchu sieciowego. Jednakże blokowanie dostępu do urządzeń wyłącznie na podstawie adresu MAC z firewalla nie jest ani standardową, ani najbardziej bezpośrednią praktyką, gdyż firewall MikroTik działa przede wszystkim na poziomie warstwy sieciowej (warstwa 3) i wyżej, natomiast adresy MAC działają na poziom łącza (warstwa 2).
Istnieją jednak w RouterOS inne sposoby ograniczania dostępu w oparciu o adresy MAC, choć rozwiązania te mogą być bardziej odpowiednie do kontrolowania dostępu do sieci Wi-Fi lub przez określone interfejsy Ethernet, a mniej odpowiednie do filtrowania ruchu na poziomie sieci. Tutaj przedstawiam kilka alternatyw:
1. Kontrola dostępu Wi-Fi przez MAC
Jeśli chcesz ograniczyć dostęp do hotspotu Wi-Fi na MikroTiku, możesz skorzystać z funkcji „Lista dostępu” w ustawieniach WLAN, aby zezwolić lub zabronić klientom na podstawie ich adresów MAC.
2. Filtrowanie mostkowe
W przypadku sieci przewodowych można użyć filtrowania mostów, aby blokować ruch z określonych adresów MAC przez mosty. Jest to skuteczny sposób kontroli dostępu na poziomie warstwy 2.
3. Dzierżawa serwerów DHCP
Inną opcją jest skonfigurowanie serwera DHCP na MikroTiku tak, aby mapował określone adresy IP na znane adresy MAC, a następnie użycie zapory ogniowej do blokowania ruchu do i z tych konkretnych adresów IP. Wymaga to dodatkowego etapu mapowania pomiędzy adresem MAC a adresem IP, ale skutecznie pozwala osiągnąć pożądany rezultat przy wykorzystaniu możliwości zapory ogniowej.
4. Korzystanie ze skryptów
Możesz pisać skrypty w RouterOS, które dynamicznie dodają reguły zapory ogniowej w oparciu o adres MAC, chociaż byłoby to bardziej złożone i wymagałoby logiki skryptu, aby najpierw przekształcić adres MAC w adres IP.
Rozważania
Blokowanie dostępu do urządzeń na podstawie adresów MAC nie zawsze jest najbezpieczniejszym rozwiązaniem, ponieważ adresy MAC mogą zostać sfałszowane (podszywanie się pod adres MAC). W celu zapewnienia bezpieczeństwa na poziomie sieci lepiej jest wdrożyć rozwiązania oparte na wyższych warstwach, takich jak zapory sieciowe, silne uwierzytelnianie i szyfrowanie.
Podsumowując, chociaż zapora MikroTik nie jest zaprojektowana do bezpośredniego filtrowania według adresów MAC, w RouterOS istnieją alternatywne metody, które mogą pomóc w skutecznej kontroli i ograniczaniu dostępu. Wybór metody będzie zależał od konkretnej konfiguracji sieci i potrzeb w zakresie bezpieczeństwa.
Brak tagów dla tego wpisu.