Задать вопрос

Как ограничить доступ к инету, если компа нет в DHCP Leases?

Приветствую! С Микротиками и сетями в общем я недавно столкнулся, сам что-то настраиваю в RouterOS, но многого ещё не понимаю, объясните на пальцах, пожалуйста.
На роутере от Микротика хочу ограничить интернет (WAN) одному конкретному компьютеру (по MAC-адресу, видимо). Но в DHCP Leases его нет. На самом компе ip настроен вручную, и он из другой подсети. А именно:
Роутер раздаёт ip вида: 192.168.88.***
На компе ip настрон так: 192.168.1.10
При этом DNS-сервер на компе задан вручную 192.168.1.1, хотя я настраивал ip роутера как 192.168.88.1, но и по первому адресу он тоже открывается.

ВОПРОСЫ:
1) Как ограничить доступ к инету, если компа нет в DHCP Leases на роутере? (на случай, если я решу не менять ip на самом компе)
2) Как сделать навести порядок в сети? А то сейчас каждый может себе настроить свой ip, я его не увижу на роутере (в DHCP Leases), и он сможет бесконтрольно делать что захочет...
3) Как ограничить ip, по которому будет открываться роутер / будет работать DNS? А то тоже не порядок, что он по разным ip работает, наверное...
  • Вопрос задан
  • 222 просмотра
Подписаться 4 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
Lopar
@Lopar
системный администратор
По первому и второму пункту:

Установить add-arp=yes на DHCP-Server.
Установить arp-mode=reply-only на нужном интерфейсе.

На этом этапе роутер не будет писать в интерфейсе каждому маку автоматическую ARP-запись и человек с ручными настройками просто ничего не получит, потому что не сможет в layer 2. DHCP-Server, выдавая адреса будет добавлять записи в ARP list и эти пользователи смогут работать как и задумано.

По третьему пункту нужно больше конкретики. Если интересует логин на устройство, то в System>Users есть поле Allowed Address, которое и позволяет ограничить вход на роутер определёнными адресами.
Ответ написан
Комментировать
mikes
@mikes
1) При таком раскладе у человека уже нет нет интернета. Его сеть 192.168.1.х отличается от твоей 192.168.88.х
2) Найти, бить по рукам, поднять домен, отобрать права админа у всех, поставть управляемые коммутаторы с IP-MAC-Port Binding
3) Начать с книжек по сетям, пойти на какие нить обучающие курсы.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы