Mikrotik Bluetooth tethering blockieren
Hallo
Gibt es irgendwie eine möglichkeit mit einem Mikrotik Router wenn sich ein Handy oder Laptop als Client eingelogt hat
die weiter Vernetzung per Bluetooth (tethering) zu verhindern?
Gruss Snupydoo
Gibt es irgendwie eine möglichkeit mit einem Mikrotik Router wenn sich ein Handy oder Laptop als Client eingelogt hat
die weiter Vernetzung per Bluetooth (tethering) zu verhindern?
Gruss Snupydoo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 379620
Url: https://administrator.de/contentid/379620
Ausgedruckt am: 21.11.2024 um 18:11 Uhr
8 Kommentare
Neuester Kommentar
So ist es.
Das Handy spannt dazu meist ein NAT auf, weswegen der Router davon sowieso nichts mitbekommt. Für den kommen alle Anfragen vom Handy.
Genau das was du vorhast soll den Anbietern genommen werden, eben dies zu verhindern.
Die einzige Möglichkeit wäre ein Proxy, sofern ich mich da nicht recht entsinne wäre das die einzige Ausnahme, was andere Geräte hinter einem NAT nicht betrifft.
Das Handy spannt dazu meist ein NAT auf, weswegen der Router davon sowieso nichts mitbekommt. Für den kommen alle Anfragen vom Handy.
Genau das was du vorhast soll den Anbietern genommen werden, eben dies zu verhindern.
Die einzige Möglichkeit wäre ein Proxy, sofern ich mich da nicht recht entsinne wäre das die einzige Ausnahme, was andere Geräte hinter einem NAT nicht betrifft.
Du könntest in Richtung lokales Netzwerk die TTL auf 1 reduzieren - dann kann das Paket nicht mehr weiter geroutet werden.
Das funktioniert allerdings nur, wenn du keine Szenarien in deinem Netzwerk hast, bei denen ein weiteres Routing notwendig ist.
Siehe z.B. hier: http://gregsowell.com/?p=2139
Das funktioniert allerdings nur, wenn du keine Szenarien in deinem Netzwerk hast, bei denen ein weiteres Routing notwendig ist.
Siehe z.B. hier: http://gregsowell.com/?p=2139
TTL2 oder auch 3 (sofern interne Subnetze bestehen) würde das Weiterkommen im Internet der Tethering Pakete vermutlich auch schon zunichte machen da es dann maximal bis in irgendwelche Provider Koppelnetze kommen würde.
Ein Problem aber bleibt...
Will sich dieser Tethering User mal wieder als "normaler" Benutzer ohne Tethering einloggen und das Internet nutzen wird er mit seiner Mac Adresse oder IP Adresse dann ja auch Opfer des "TTL Tricks" und irgendwo stecken bleiben.
Ein Problem aber bleibt...
Will sich dieser Tethering User mal wieder als "normaler" Benutzer ohne Tethering einloggen und das Internet nutzen wird er mit seiner Mac Adresse oder IP Adresse dann ja auch Opfer des "TTL Tricks" und irgendwo stecken bleiben.
Servus.
Doch das geht schon, du hast bist mit deiner Regel vermutlich nur falsch angegangen (hier testweise nur für ein einziges Device):
Hier getestet mit einem OnePlus 5 im Bluetooth Tethering-Mode, verbunden damit war ein Notebook. Nach aktivieren der Regel, bleiben die Pakete für das Notebook wie erwartet am OnePlus hängen. Aktivitäten am Telefon sind davon auch wie erwartet nicht betroffen.
Die Passthrough-Option hat hier in dem Zusammenhang keine Bedeutung, das bedeutet nur das das Paket nach der Anpassung der TTL an die darauf folgenden Mangle Rules weiter gegeben wird oder nicht.
Das ganze hindert natürlich den User nicht daran ebenfalls einen Mikrotik dran zu pappen und seinerseits die TTL wieder anzupassen, oder einen angepassten Proxy zu verwenden , das behindert nur die Otto-Normalos.
Und mit welchem Medium jemand versucht einen Hotspot aufzuspannen kannst du am Router nicht erkennen, du kannst eben nur per TTL verhindern das Paket am Endpunkt erneut weitergeben wird und auch nur solange die Software die den Hotspot anbietet regelkonform den TTL Header um eins dekrementiert.
Es gibt natürlich aufwendigere Methoden um statistisch festzustellen wie viele Devices hinter einem Host stecken => (sFlow / Fingerprinting => https://sflow.org/detectNAT/).
Grüße Uwe
Doch das geht schon, du hast bist mit deiner Regel vermutlich nur falsch angegangen (hier testweise nur für ein einziges Device):
/ip firewall mangle add action=change-ttl chain=postrouting dst-address=10.10.1.12 new-ttl=set:1 passthrough=yes
Die Passthrough-Option hat hier in dem Zusammenhang keine Bedeutung, das bedeutet nur das das Paket nach der Anpassung der TTL an die darauf folgenden Mangle Rules weiter gegeben wird oder nicht.
Das ganze hindert natürlich den User nicht daran ebenfalls einen Mikrotik dran zu pappen und seinerseits die TTL wieder anzupassen, oder einen angepassten Proxy zu verwenden , das behindert nur die Otto-Normalos.
Und mit welchem Medium jemand versucht einen Hotspot aufzuspannen kannst du am Router nicht erkennen, du kannst eben nur per TTL verhindern das Paket am Endpunkt erneut weitergeben wird und auch nur solange die Software die den Hotspot anbietet regelkonform den TTL Header um eins dekrementiert.
Es gibt natürlich aufwendigere Methoden um statistisch festzustellen wie viele Devices hinter einem Host stecken => (sFlow / Fingerprinting => https://sflow.org/detectNAT/).
Grüße Uwe