8
Mikrotik Bluetooth tethering blockieren
Hallo
Gibt es irgendwie eine möglichkeit mit einem Mikrotik Router wenn sich ein Handy oder Laptop als Client eingelogt hat
die weiter Vernetzung per Bluetooth (tethering) zu verhindern?
Gruss Snupydoo
Gibt es irgendwie eine möglichkeit mit einem Mikrotik Router wenn sich ein Handy oder Laptop als Client eingelogt hat
die weiter Vernetzung per Bluetooth (tethering) zu verhindern?
Gruss Snupydoo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 379620
Url: https://administrator.de/contentid/379620
Ausgedruckt am: 08.11.2024 um 05:11 Uhr
8 Kommentare
Neuester Kommentar
Hi
Wenn das Handy nicht von euch Verwaltet wird, kannst du die Kopplung nicht Verhindern.
Da sich das Handy sicherlich per Wlan? Einloggt kannst du dort ja vom Accesspoint Firewallregeln erstellen und Ports Blocken sofern dein Modell dies kann.
Wenn das Handy nicht von euch Verwaltet wird, kannst du die Kopplung nicht Verhindern.
Da sich das Handy sicherlich per Wlan? Einloggt kannst du dort ja vom Accesspoint Firewallregeln erstellen und Ports Blocken sofern dein Modell dies kann.
So ist es.
Das Handy spannt dazu meist ein NAT auf, weswegen der Router davon sowieso nichts mitbekommt. Für den kommen alle Anfragen vom Handy.
Genau das was du vorhast soll den Anbietern genommen werden, eben dies zu verhindern.
Die einzige Möglichkeit wäre ein Proxy, sofern ich mich da nicht recht entsinne wäre das die einzige Ausnahme, was andere Geräte hinter einem NAT nicht betrifft.
Das Handy spannt dazu meist ein NAT auf, weswegen der Router davon sowieso nichts mitbekommt. Für den kommen alle Anfragen vom Handy.
Genau das was du vorhast soll den Anbietern genommen werden, eben dies zu verhindern.
Die einzige Möglichkeit wäre ein Proxy, sofern ich mich da nicht recht entsinne wäre das die einzige Ausnahme, was andere Geräte hinter einem NAT nicht betrifft.
Du könntest in Richtung lokales Netzwerk die TTL auf 1 reduzieren - dann kann das Paket nicht mehr weiter geroutet werden.
Das funktioniert allerdings nur, wenn du keine Szenarien in deinem Netzwerk hast, bei denen ein weiteres Routing notwendig ist.
Siehe z.B. hier: http://gregsowell.com/?p=2139
Das funktioniert allerdings nur, wenn du keine Szenarien in deinem Netzwerk hast, bei denen ein weiteres Routing notwendig ist.
Siehe z.B. hier: http://gregsowell.com/?p=2139
TTL2 oder auch 3 (sofern interne Subnetze bestehen) würde das Weiterkommen im Internet der Tethering Pakete vermutlich auch schon zunichte machen da es dann maximal bis in irgendwelche Provider Koppelnetze kommen würde.
Ein Problem aber bleibt...
Will sich dieser Tethering User mal wieder als "normaler" Benutzer ohne Tethering einloggen und das Internet nutzen wird er mit seiner Mac Adresse oder IP Adresse dann ja auch Opfer des "TTL Tricks" und irgendwo stecken bleiben.
Ein Problem aber bleibt...
Will sich dieser Tethering User mal wieder als "normaler" Benutzer ohne Tethering einloggen und das Internet nutzen wird er mit seiner Mac Adresse oder IP Adresse dann ja auch Opfer des "TTL Tricks" und irgendwo stecken bleiben.
Nur die Egress-Pakete in Richtung LAN, aqui 
Die müssen nicht viel weiter kommen.
Und wenn du mit dem Client direkt über dem Mikrotik routest, ohne Tethering dazwischen, sind keine Probleme zu erwarten.
Die müssen nicht viel weiter kommen.
Und wenn du mit dem Client direkt über dem Mikrotik routest, ohne Tethering dazwischen, sind keine Probleme zu erwarten.
Stimmt, sorry... Hatte ich im Eifer des Gefechts gar nicht auf dem Radar. 
Das wäre dann in der Tat die perfekte Lösung.
Das wäre dann in der Tat die perfekte Lösung.
Hallo LordGurke
Leider bringt das Setzen von TTL=1 gleich garnichts !!!
Habe die Regel für das Handy schon gesetzt sogar auf die IP genau.
Action=change TTL
TTL Action = Change
New TTL = 1
Passthrough ist haken drin.
Anbei auch ein Bild!
Dennoch kann ich es weiter geben per Bluetooth! Ohne das der Teilnehmer der mit dem WLAN Client im Netz verbunden ist
auswirkungen spührt und kann frei im Netz youtube weiter schauen. Nur will ich den Client selbst nicht sperren oder Regeln auferlegen!
Nur die Weitergabe verhindern auch per Bluetooth!
Gruss Snupydoo
Leider bringt das Setzen von TTL=1 gleich garnichts !!!
Habe die Regel für das Handy schon gesetzt sogar auf die IP genau.
Action=change TTL
TTL Action = Change
New TTL = 1
Passthrough ist haken drin.
Anbei auch ein Bild!
Dennoch kann ich es weiter geben per Bluetooth! Ohne das der Teilnehmer der mit dem WLAN Client im Netz verbunden ist
auswirkungen spührt und kann frei im Netz youtube weiter schauen. Nur will ich den Client selbst nicht sperren oder Regeln auferlegen!
Nur die Weitergabe verhindern auch per Bluetooth!
Gruss Snupydoo
Servus.
Doch das geht schon, du hast bist mit deiner Regel vermutlich nur falsch angegangen (hier testweise nur für ein einziges Device):
Hier getestet mit einem OnePlus 5 im Bluetooth Tethering-Mode, verbunden damit war ein Notebook. Nach aktivieren der Regel, bleiben die Pakete für das Notebook wie erwartet am OnePlus hängen. Aktivitäten am Telefon sind davon auch wie erwartet nicht betroffen.
Die Passthrough-Option hat hier in dem Zusammenhang keine Bedeutung, das bedeutet nur das das Paket nach der Anpassung der TTL an die darauf folgenden Mangle Rules weiter gegeben wird oder nicht.
Das ganze hindert natürlich den User nicht daran ebenfalls einen Mikrotik dran zu pappen und seinerseits die TTL wieder anzupassen, oder einen angepassten Proxy zu verwenden, das behindert nur die Otto-Normalos.
Und mit welchem Medium jemand versucht einen Hotspot aufzuspannen kannst du am Router nicht erkennen, du kannst eben nur per TTL verhindern das Paket am Endpunkt erneut weitergeben wird und auch nur solange die Software die den Hotspot anbietet regelkonform den TTL Header um eins dekrementiert.
Es gibt natürlich aufwendigere Methoden um statistisch festzustellen wie viele Devices hinter einem Host stecken => (sFlow / Fingerprinting => https://sflow.org/detectNAT/).
Grüße Uwe
Doch das geht schon, du hast bist mit deiner Regel vermutlich nur falsch angegangen (hier testweise nur für ein einziges Device):
/ip firewall mangle add action=change-ttl chain=postrouting dst-address=10.10.1.12 new-ttl=set:1 passthrough=yes
Die Passthrough-Option hat hier in dem Zusammenhang keine Bedeutung, das bedeutet nur das das Paket nach der Anpassung der TTL an die darauf folgenden Mangle Rules weiter gegeben wird oder nicht.
Das ganze hindert natürlich den User nicht daran ebenfalls einen Mikrotik dran zu pappen und seinerseits die TTL wieder anzupassen, oder einen angepassten Proxy zu verwenden
, das behindert nur die Otto-Normalos.Und mit welchem Medium jemand versucht einen Hotspot aufzuspannen kannst du am Router nicht erkennen, du kannst eben nur per TTL verhindern das Paket am Endpunkt erneut weitergeben wird und auch nur solange die Software die den Hotspot anbietet regelkonform den TTL Header um eins dekrementiert.
Es gibt natürlich aufwendigere Methoden um statistisch festzustellen wie viele Devices hinter einem Host stecken => (sFlow / Fingerprinting => https://sflow.org/detectNAT/).
Grüße Uwe
