воскресенье, 12 мая 2013 г.

Запрет доступа на Mikrotik через WinBox

Вводная: Необходимо запретить на Mikrotik`е подключение с определённых интерфейсов и адресов, через утилиту WinBox.

Решение: Вначале отключаем функцию IP Neighbors на интерфейсе где данный функционал не нужен
ip neighbor discovery set GuestLan discover=no
(подробнее о функции можно почитать - http://arxont.blogspot.ru/2013/05/ipneighbor-mikrotik.html )

Далее необходимо отключить подключение к микротику через Winbox
ip firewall filter add action=reject chain=input dst-port=8291 protocol=tcp
Но данная команда не отработает в локальной сети, при подключении к роутеру через MAC адрес. Она необходима при защите winbox от входов с внешнего периметра.  но так как MAC-Winbox работает на 2 уровне модели OSI, а межсетевой экран на третьем ( https://ru.wikipedia.org/wiki/Сетевая_модель_OSI ), то простое блокирование работы порта 8291 не даст результатов 

По умолчанию mac winbox включен на всех интерфейсах, отключить можно командой
tool mac-server mac-winbox set [ find default=yes ] disabled=yes 
Теперь добавим конкретный интерфейс, с которого мы оставим доступ через winbox
tool mac-server mac-winbox add interface=bridge2
Всё. Теперь подключиться к нашему микротику могут только по MAC`у и только с интерфейса bridge2. Если необходим удалённый доступ с какого-то конкретного адреса (или подсети, или интерфейса), то можно просто добавить правило
ip firewall filter add add chain=input src-address=192.168.123.100

Также можно заблокировать доступ через winbox, командой
ip service set winbox disabled=yes 
Но опять же доступ через MAC остаётся