Блокиране на абсолютно всички IP-та да ползват интернет достъп - освен добавените!

[Draganov]

Здравейте съфорумци!

 

За първи път се сблъсквам с Микротик устройствата и тяхната операционна среда. Системен администратор съм на повикване в един що долу-горе малък хотел на К.к Златни пясъци.

Хотела изцяло поднови мрежовото оборудване и от мегабитови суичове и рутери на гигабитови. И сега се пада на мен честта да конфигурирам мрежата на ново. Досега един TP-Link управляваше цялата мрежа там бях го настроил доста лесно за блокиране на IP-та да нямат достъп до интернет и само определени да го ползват. Този рутерборд променя нещата и трябва да навлизам малко по-малко. Досегашния TP-Link беше с DHPC и така раздаваше автоматично IP-тата.

Сега смятам да го изключа и ръчно да се въвеждат, защото много от персонала се правеха на хакери и вкарваха ЛАН кабела в лаптопите им и се ровичкаха из ЛАН мрежата и оглеждаха какво има споделено. По-разровичках се из форума да прочета нещо за блокиране и намерих но все пак искам да ми помогнете искам да го настроя както трябва без разни странични бъгчета от недописани команди или липсващи иницяли от командата.

 

Сега директно към въпроса:

 

Искам да блокирам обсолютно всичко IP-та да ползват интернет достъп, а тези който искам да го ползват ще ги добавям ръчно. И ако е възможно дори и лан мрежата да забраня и аз да ги добавям който ми трябват.

 

Пояснение на мрежата: Рутерборда ще управялва цялата Лан мрежа на хотела без Hotspot-а, чрез един гигабитов суич на Zyxel.

 

Модел на микротика: RouterBoard 750GL.

 

Eth1, PoE - Вход на интернета

Eth2-3: Свободни ще ги оставя за нещо друго когато потрябват.

Eth4-5 - Ще са вързани със Zyxel суича тоест това ще е лан мрежата на персонала на хотела.

 

Дано да съм бил достатъчно изчерпателен и точен с обяснението за да е разбираемо.

 

Благодаря Ви предварително колеги!

 

 

[111111]

при микротик е лесно да раздаваш адреси с дхцп само на устройствата чиито макове знаеш 

само трабва да са описани в leases а на сървъра да е оказано да дава статични

а това че клиентите ти имат достъп до кабел е друг въпрос

[MiPSus]

 

Системен администратор съм на повикване ....

 

Ти това изречение сериозно ли го мислиш?

[Mihail Peltekov]

+ 1  MiPSus

 

А защо не вземеш да сегментираш малко мрежата?

От прочетеното разбирам, че е имало TP-LINK - маршрутизатор тип сапунерка или отделно маршрутизатор +  комутатор?

И този Zyxel управляем ли е? Модел?

Като са включвали други устройства не пречи да се направи ограничаване по MAC адрес на всеки порт от комутатора. Пък, ако са още по-големи 'хакери' може да се направи с 802.1X Port-Based Authentication като добавка. 

Прекалено много забрани водят точно до това, което си описал горе. И ако няма какво да видят из мрежата без да имат необходимото ниво на достъп нека да си шарят из мрежата )

[Draganov]

 

 

Ти това изречение сериозно ли го мислиш?

 

Ти от кои тип си, от тези само дето търсят за нещо да се захванат. Добре, не се изразих правилно на абонамент съм и поддържам цялата компютърна техника и ако има нещо по-софтуера пак аз го оправям или отстранявам. Помолих Ви за помощ, а не за критики.

[111111]

Има много варянти за блокиране 
най лесен е този с хотспот-а

[Mihail Peltekov]

Можеше просто да отговориш на въпросите и да не задълбаваш. Очакваме отговори

[Mupo neTkoB]

най-добре не блокирай нищо. просто на рутера не прави маскарадинг на всички, а само на описаните от теб адреси. за да си намалиш работата остави DHCP сървъра пуснат. също чрез него можеш да раздаваш адреси на всички примерно 192.168.0.1, а на тези които трябва да имат интернет да са съвсем други

[MiPSus]

Ти от кои тип си, от тези само дето търсят за нещо да се захванат. Добре, не се изразих правилно на абонамент съм и поддържам цялата компютърна техника и ако има нещо по-софтуера пак аз го оправям или отстранявам. Помолих Ви за помощ, а не за критики.

 

За пореден път се убеждавам, че в нашата мила държава всеки върши това което не му е работа!

Просто твоя проблем не може да се реши с една тема и "съвет" във форума, или ако стигнеш до някъде, то след месец ще има нова тема.

Просто наеми някой от твоя раион, който знае какво прави (да се чете като - ТОВА МУ Е РАБОТАТА).

[Draganov]

Здравейте, "Благодаря Ви" за помощта. Точно работата беше за няколко минути трябваше да ме напътите как да го направя за да няма такива излишни коментари. Един колега се отзова и ми помогна за което съм му много благодарен! 

 

За пореден път се убеждавам, че в нашата мила държава всеки върши това което не му е работа!

Просто твоя проблем не може да се реши с една тема и "съвет" във форума, или ако стигнеш до някъде, то след месец ще има нова тема.

Просто наеми някой от твоя раион, който знае какво прави (да се чете като - ТОВА МУ Е РАБОТАТА).

 

А на теб каква ти е работата да казваш на кой е и на кой не. Всеки си има някакъв начален стадии, никой не се е родил научен! Нали затова е форума да се обсъждат теми и да си помагаме взаимно, явно тук не е така!