Как разрешить доступ к сетке роутера MikroTik по определённым MAC-адресам?

Question

[ddox]

Хотелось бы запретить всем подключенным к роутеру устройствам доступ как в локальную сеть, так и в интернет, кроме тех устройств, MAC-адрес которых будет находиться в каком-либо списке.

Answer 1

[paxlo]

Разрешать только тех, чьи mac/ip вручную указаны в lease
/ip dhcp-server set default add-arp=yes address-pool=static-only

Также запретить инет тем, кто вручную прописал айпишники на сетевухе
/interface bridge set bridge-local arp=reply-only

Заполняем white-лист
/ip dhcp-server lease
add address=1.2.3.4 mac-address=11:22:33:44:55:66 server=default

Теперь если даже вписать на компе ручками ip, в инет злодей не попадет, но внутренние ресурсы все равно будут доступны, ибо пакеты для той же подсети не ходят через роутер. Тут нужно на уровне свича делать привязку mac-ip через dhcp option 82.

Comments

[V K]

Пожалуйста, осветите поподробнее вот это «Тут нужно на уровне свича делать привязку mac-ip через dhcp option 82».
Меня как раз интересует как не пустить корпоративный ноут в домашнюю локалку, но интернет по wi-fi отдавать.

Answer 2

[Дмитрий Шицков]

Например, сперва пускаем всех разрешенных

/ip firewall filter add chain=input src-mac-address=ff:ff:ff:ff:ff:f1,ff:ff:ff:ff:ff:f2 action=accept

Остальным запрещаем всё
/ip firewall filter add chain=input action-drop

Осторожно, не запретите себе доступ к Микротику! Делайте всё в SafeMode!