snupydoo
Goto Top

Mikrotik Bluetooth tethering blockieren

Hallo

Gibt es irgendwie eine möglichkeit mit einem Mikrotik Router wenn sich ein Handy oder Laptop als Client eingelogt hat
die weiter Vernetzung per Bluetooth (tethering) zu verhindern?

Gruss Snupydoo

Content-ID: 379620

Url: https://administrator.de/contentid/379620

Ausgedruckt am: 21.11.2024 um 18:11 Uhr

kaiand1
kaiand1 08.07.2018 um 22:55:33 Uhr
Goto Top
Hi
Wenn das Handy nicht von euch Verwaltet wird, kannst du die Kopplung nicht Verhindern.
Da sich das Handy sicherlich per Wlan? Einloggt kannst du dort ja vom Accesspoint Firewallregeln erstellen und Ports Blocken sofern dein Modell dies kann.
BinaryBear
BinaryBear 08.07.2018 um 23:35:44 Uhr
Goto Top
So ist es.
Das Handy spannt dazu meist ein NAT auf, weswegen der Router davon sowieso nichts mitbekommt. Für den kommen alle Anfragen vom Handy.
Genau das was du vorhast soll den Anbietern genommen werden, eben dies zu verhindern.

Die einzige Möglichkeit wäre ein Proxy, sofern ich mich da nicht recht entsinne wäre das die einzige Ausnahme, was andere Geräte hinter einem NAT nicht betrifft.
LordGurke
LordGurke 09.07.2018 um 08:39:42 Uhr
Goto Top
Du könntest in Richtung lokales Netzwerk die TTL auf 1 reduzieren - dann kann das Paket nicht mehr weiter geroutet werden.
Das funktioniert allerdings nur, wenn du keine Szenarien in deinem Netzwerk hast, bei denen ein weiteres Routing notwendig ist.
Siehe z.B. hier: http://gregsowell.com/?p=2139
aqui
aqui 09.07.2018 um 09:27:05 Uhr
Goto Top
TTL2 oder auch 3 (sofern interne Subnetze bestehen) würde das Weiterkommen im Internet der Tethering Pakete vermutlich auch schon zunichte machen da es dann maximal bis in irgendwelche Provider Koppelnetze kommen würde.
Ein Problem aber bleibt...
Will sich dieser Tethering User mal wieder als "normaler" Benutzer ohne Tethering einloggen und das Internet nutzen wird er mit seiner Mac Adresse oder IP Adresse dann ja auch Opfer des "TTL Tricks" und irgendwo stecken bleiben.
LordGurke
LordGurke 09.07.2018 um 10:05:10 Uhr
Goto Top
Nur die Egress-Pakete in Richtung LAN, aqui face-wink
Die müssen nicht viel weiter kommen.
Und wenn du mit dem Client direkt über dem Mikrotik routest, ohne Tethering dazwischen, sind keine Probleme zu erwarten.
aqui
aqui 09.07.2018 um 10:18:34 Uhr
Goto Top
Stimmt, sorry... Hatte ich im Eifer des Gefechts gar nicht auf dem Radar. face-smile
Das wäre dann in der Tat die perfekte Lösung.
Snupydoo
Snupydoo 09.07.2018 um 11:34:48 Uhr
Goto Top
Hallo LordGurke

Leider bringt das Setzen von TTL=1 gleich garnichts !!!

Habe die Regel für das Handy schon gesetzt sogar auf die IP genau.
Action=change TTL
TTL Action = Change
New TTL = 1
Passthrough ist haken drin.
Anbei auch ein Bild!

Dennoch kann ich es weiter geben per Bluetooth! Ohne das der Teilnehmer der mit dem WLAN Client im Netz verbunden ist
auswirkungen spührt und kann frei im Netz youtube weiter schauen. Nur will ich den Client selbst nicht sperren oder Regeln auferlegen!
Nur die Weitergabe verhindern auch per Bluetooth!

Gruss Snupydoo
manglerule
colinardo
colinardo 09.07.2018 aktualisiert um 16:44:47 Uhr
Goto Top
Servus.
Doch das geht schon, du hast bist mit deiner Regel vermutlich nur falsch angegangen (hier testweise nur für ein einziges Device):
/ip firewall mangle add action=change-ttl chain=postrouting dst-address=10.10.1.12 new-ttl=set:1 passthrough=yes
Hier getestet mit einem OnePlus 5 im Bluetooth Tethering-Mode, verbunden damit war ein Notebook. Nach aktivieren der Regel, bleiben die Pakete für das Notebook wie erwartet am OnePlus hängen. Aktivitäten am Telefon sind davon auch wie erwartet nicht betroffen.
Die Passthrough-Option hat hier in dem Zusammenhang keine Bedeutung, das bedeutet nur das das Paket nach der Anpassung der TTL an die darauf folgenden Mangle Rules weiter gegeben wird oder nicht.

Das ganze hindert natürlich den User nicht daran ebenfalls einen Mikrotik dran zu pappen und seinerseits die TTL wieder anzupassen, oder einen angepassten Proxy zu verwenden face-wink, das behindert nur die Otto-Normalos.

Und mit welchem Medium jemand versucht einen Hotspot aufzuspannen kannst du am Router nicht erkennen, du kannst eben nur per TTL verhindern das Paket am Endpunkt erneut weitergeben wird und auch nur solange die Software die den Hotspot anbietet regelkonform den TTL Header um eins dekrementiert.

Es gibt natürlich aufwendigere Methoden um statistisch festzustellen wie viele Devices hinter einem Host stecken => (sFlow / Fingerprinting => https://sflow.org/detectNAT/).

Grüße Uwe