Решение: Вначале отключаем функцию IP Neighbors на интерфейсе где данный функционал не нужен
ip neighbor discovery set GuestLan discover=no(подробнее о функции можно почитать - http://arxont.blogspot.ru/2013/05/ipneighbor-mikrotik.html )
Далее необходимо отключить подключение к микротику через Winbox
ip firewall filter add action=reject chain=input dst-port=8291 protocol=tcpНо данная команда не отработает в локальной сети, при подключении к роутеру через MAC адрес. Она необходима при защите winbox от входов с внешнего периметра. но так как MAC-Winbox работает на 2 уровне модели OSI, а межсетевой экран на третьем ( https://ru.wikipedia.org/wiki/Сетевая_модель_OSI ), то простое блокирование работы порта 8291 не даст результатов
По умолчанию mac winbox включен на всех интерфейсах, отключить можно командой
tool mac-server mac-winbox set [ find default=yes ] disabled=yesТеперь добавим конкретный интерфейс, с которого мы оставим доступ через winbox
tool mac-server mac-winbox add interface=bridge2Всё. Теперь подключиться к нашему микротику могут только по MAC`у и только с интерфейса bridge2. Если необходим удалённый доступ с какого-то конкретного адреса (или подсети, или интерфейса), то можно просто добавить правило
ip firewall filter add add chain=input src-address=192.168.123.100
Также можно заблокировать доступ через winbox, командой
ip service set winbox disabled=yesНо опять же доступ через MAC остаётся
Комментариев нет:
Отправить комментарий