Как ограничить доступ к проброшенному порту по MAC адресу клиента в Mikrotik?

Question

[lock1t]

Суть в чем имеется Mikrotik с белым ip и проброшены порты которые смотрят на сервер во внутреннюю локалку, нужно дать доступ к портам только паре клиентов по MAC адресам извне, а остальным запретить подключение к портам.

Comments

[Wexter]

Как насчёт изучить сперва матчасть? Глядишь и такие глупые вопросы сами собой отпадут

[Lynn «Кофеман»]

Извне нет никаких mac-адресов. Вернее есть, но только ближайшего роутера вашего провайдера.

[lock1t]

Wexter, Если бы било время на изучение то не обращался бы на Toster, спасибо за помощь!

[vreitech]

> Как ограничить доступ к проброшенному порту по MAC адресу клиента в Mikrotik?
встроенный файервол, полагаю, умеет блокировать доступ по указанным сетевому интерфейсу, MAC-адресу источника и номеру порта.
> нужно дать доступ к портам только паре клиентов по MAC адресам извне, а остальным запретить подключение к портам.
у вас проблема именно с тем, что вы не в курсе, где в микротике файервол, или с чем-то другим?
если второе, то я, право, не знаю, что вам посоветовать, кроме как создать разрешающие правила для внешнего интерфейса с интересующими вас MAC-адресами источника и номером порта, и запрещающее правило для внешнего интерфейса с интересующим номером порта.

[vreitech]

Алексей Тен, ну не всегда всё столь просто, там кроме роутера могут быть и другие устройства. автор не указал, что такое в его случае "извне", это может быть просто другая локальная сеть.
но в общем случае соглашусь - извне по MAC не фильтруют, если "извне" - это из интернета.

[lock1t]

vreitech, Да извне это из интернета, просто у меня мало опыта в настройке Mikrotik вы уж простите, но есть открытые порты мне бы хотелось дать доступ только определенным клиентам, но как правильно не знаю. Вот и вся проблема.

[vreitech]

lock1t, где именно это делается в микротике - я не подскажу. однако это делается точно не по MAC-адресам.

[burst]

lock1t, a кто тогда пробрасывал порты?

Answer 1

[rionnagel]

По мак адресу не выйдет извне. Это не тот уровень. Можно по ip разрешать (но тогда кому нужен будет доступ - необходимо будет статические ip иметь), а лучше для таких вещей поднимать впн.

Comments

[lock1t]

VPN уже поднят выше писал спасибо!

Answer 2

[Gregory]

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=3389 protocol=tcp src-mac-address=52:54:00:34:3A:70 to-addresses=192.168.88.203

но однак так работать не будет, проверяйте
можно отсеять по ip

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=3389 protocol=tcp src-address-list="IP ALLOW" to-addresses=192.168.88.203

/ip firewall address-list
add address=216.17.43.160 comment="one ip" list="IP ALLOW"

Comments

[lock1t]

Спасибо, да действительно первый вариант не сработал, но я разобрался нужно всего было поднять VPN-Server. Сам виноват что внимательно не читал мат.часть! Более глупых вопросов задавать не буду.