kartoffelesser

Mikrotik RouterOS - V6.45.9: ist mittels Firewall und "Interface-List" eine MAC-Adressen Filterung möglich?

Hallo Spezialisten und Admins,

in meinem Testnetz (u.a. Mikrotik RB1100 AHX2- V6.45.9), bestehend aus 10 VLANs würde ich gerne mittels einer Interface-Liste Clients (Notebooks) via MAC-Adressen den Zugang in das Internet auf dem RB1100 erlauben bzw. verbieten.

Dazu würde ich:
1. Interfaces, Interface List, Lists, Add New eine Liste namens "VLANliste" erstellen
2. Interfaces, Interface List mit Add New der "VLANliste" die Vlans - VLAN1, VLAN2 und VLAN3 zuordnen
3. IP, Firewall, Add New zwei neue Regeln hinzufügen (natürlich für jedes Notebook zwei eigene Regeln in der richtigen Reihenfolge):
Firewallregel - Nummer10:
Chain: forward / In. Interface List: VLANliste / Src. MAC Address: AA:BB:CC:DD:EE:FF / Action: accept / Comment: Notebook1 - Erlaube AA:BB:CC:DD:EE:FF den Zugang ins Internet via "In.Interface List" - durch die VLANliste (VLAN1 bis VLAN3)
Firewallregel - Nummer11:
4. Chain: forward / In. Interface: all VLAN / Src. MAC Address: AA:BB:CC:DD:EE:FF / Action: drop / Comment: Notebook1 - Blockiere AA:BB:CC:DD:EE:FF den Zugang ins Internet - bei allen VLANs (VLAN1 bis VLAN10)

Erhofftes Ergebnis: das Notebook mit der MAC-Adresse AA:BB:CC:DD:EE:FF kann als wechselndes Mitglied der VLAN1 bis VLAN3 in das Internet. In den VLANs 4 bis 10 ist der Zugang ins Netz gesperrt.

1. Frage: kann ich es überhaupt so umsetzen - weil in der Firewall (Layer3) doch nur IP-Adressen und keine MAC-Adressen (Layer2) gefiltert werden?

2. Frage: kann ich es doch umsetzen - weil seit der RouterOS V6.41 von "Master-Port" auf "Bridge Hardware Offloading" umgestellt wurde?


Mir ist bewusst das MAC - Filterung sehr unsicher ist. Mir geht es hier nur darum ob es grundsätzlich möglich wäre.

Bin über jeden Tipp / Info dankbar!


Kartoffelesser
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 629158

Url: https://administrator.de/forum/mikrotik-routeros-v6-45-9-ist-mittels-firewall-und-interface-list-eine-mac-adressen-filterung-moeglich-629158.html

Ausgedruckt am: 08.07.2025 um 14:07 Uhr

146707
Lösung 146707 06.12.2020 aktualisiert um 16:59:24 Uhr
Zitat von @kartoffelesser:
1. Frage: kann ich es überhaupt so umsetzen - weil in der Firewall doch nur IP-Adressen und keinen MAC-Adressen gefiltert werden?
Ja kannst du definitiv, der Mikrotik kann MAC Filtering auch noch in der Forward-Chain! Probiers einfach selbst aus, just works.
2. Frage: kann ich es doch umsetzen - weil seit der RouterOS V6.41 von "Master-Port" auf "Bridge Hardware Offloading" umgestellt wurde?
Das hat mit obigem Thema so viel zu tun wie ein Fisch mit einem Fahrrad face-wink.
kartoffelesser
kartoffelesser 06.12.2020 um 17:06:18 Uhr
Hallo primal,
DANKE für Deine Antwort!
Also hat das "Bridge Hardware Offloading" nichts mit einer Bridge als "Kopplung" zwischen zwei Netzen zu tun?
146707
146707 06.12.2020 aktualisiert um 17:09:53 Uhr
Zitat von @kartoffelesser:
Also hat das "Bridge Hardware Offloading" nichts mit einer Bridge als "Kopplung" zwischen zwei Netzen zu tun?
Es hat nichts mit dem Thema MAC-Adresse als Filter zu tun, weil du schriebst "Frage: kann ich es doch umsetzen".

Aber natürlich muss man bei der Verwendung von mehreren VLAN innerhalb einer Bridge das VLAN-Filtering in der Bridge aktivieren, das hat aber auch nichts mit den MAC-Adressen was du oben vorhast zu tun.
kartoffelesser
kartoffelesser 06.12.2020 um 17:09:09 Uhr
DANKE!!
146707
146707 06.12.2020 um 17:10:01 Uhr
Bidde face-smile.
146707
146707 06.12.2020 aktualisiert um 17:22:07 Uhr
Nur zur Info: Hardware-Offloading ist bei aktiviertem VLAN-Filtering innerhalb einer Bridge bei den meisten Mikrotiks nicht supported weil dabei die CPU hier zwingend involviert ist! Echtes Hardware-Offloading inkl. Bridge-VLAN Filterung können nur die Mikrotik CRS 3xx Modelle.
Hier nachzulesen
wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_O ...