Mikrotik RouterOS - V6.45.9: ist mittels Firewall und "Interface-List" eine MAC-Adressen Filterung möglich?
Hallo Spezialisten und Admins,
in meinem Testnetz (u.a. Mikrotik RB1100 AHX2- V6.45.9), bestehend aus 10 VLANs würde ich gerne mittels einer Interface-Liste Clients (Notebooks) via MAC-Adressen den Zugang in das Internet auf dem RB1100 erlauben bzw. verbieten.
Dazu würde ich:
1. Interfaces, Interface List, Lists, Add New eine Liste namens "VLANliste" erstellen
2. Interfaces, Interface List mit Add New der "VLANliste" die Vlans - VLAN1, VLAN2 und VLAN3 zuordnen
3. IP, Firewall, Add New zwei neue Regeln hinzufügen (natürlich für jedes Notebook zwei eigene Regeln in der richtigen Reihenfolge):
Firewallregel - Nummer10:
Chain: forward / In. Interface List: VLANliste / Src. MAC Address: AA:BB:CC:DD:EE:FF / Action: accept / Comment: Notebook1 - Erlaube AA:BB:CC:DD:EE:FF den Zugang ins Internet via "In.Interface List" - durch die VLANliste (VLAN1 bis VLAN3)
Firewallregel - Nummer11:
4. Chain: forward / In. Interface: all VLAN / Src. MAC Address: AA:BB:CC:DD:EE:FF / Action: drop / Comment: Notebook1 - Blockiere AA:BB:CC:DD:EE:FF den Zugang ins Internet - bei allen VLANs (VLAN1 bis VLAN10)
Erhofftes Ergebnis: das Notebook mit der MAC-Adresse AA:BB:CC:DD:EE:FF kann als wechselndes Mitglied der VLAN1 bis VLAN3 in das Internet. In den VLANs 4 bis 10 ist der Zugang ins Netz gesperrt.
1. Frage: kann ich es überhaupt so umsetzen - weil in der Firewall (Layer3) doch nur IP-Adressen und keine MAC-Adressen (Layer2) gefiltert werden?
2. Frage: kann ich es doch umsetzen - weil seit der RouterOS V6.41 von "Master-Port" auf "Bridge Hardware Offloading" umgestellt wurde?
Mir ist bewusst das MAC - Filterung sehr unsicher ist. Mir geht es hier nur darum ob es grundsätzlich möglich wäre.
Bin über jeden Tipp / Info dankbar!
Kartoffelesser
in meinem Testnetz (u.a. Mikrotik RB1100 AHX2- V6.45.9), bestehend aus 10 VLANs würde ich gerne mittels einer Interface-Liste Clients (Notebooks) via MAC-Adressen den Zugang in das Internet auf dem RB1100 erlauben bzw. verbieten.
Dazu würde ich:
1. Interfaces, Interface List, Lists, Add New eine Liste namens "VLANliste" erstellen
2. Interfaces, Interface List mit Add New der "VLANliste" die Vlans - VLAN1, VLAN2 und VLAN3 zuordnen
3. IP, Firewall, Add New zwei neue Regeln hinzufügen (natürlich für jedes Notebook zwei eigene Regeln in der richtigen Reihenfolge):
Firewallregel - Nummer10:
Chain: forward / In. Interface List: VLANliste / Src. MAC Address: AA:BB:CC:DD:EE:FF / Action: accept / Comment: Notebook1 - Erlaube AA:BB:CC:DD:EE:FF den Zugang ins Internet via "In.Interface List" - durch die VLANliste (VLAN1 bis VLAN3)
Firewallregel - Nummer11:
4. Chain: forward / In. Interface: all VLAN / Src. MAC Address: AA:BB:CC:DD:EE:FF / Action: drop / Comment: Notebook1 - Blockiere AA:BB:CC:DD:EE:FF den Zugang ins Internet - bei allen VLANs (VLAN1 bis VLAN10)
Erhofftes Ergebnis: das Notebook mit der MAC-Adresse AA:BB:CC:DD:EE:FF kann als wechselndes Mitglied der VLAN1 bis VLAN3 in das Internet. In den VLANs 4 bis 10 ist der Zugang ins Netz gesperrt.
1. Frage: kann ich es überhaupt so umsetzen - weil in der Firewall (Layer3) doch nur IP-Adressen und keine MAC-Adressen (Layer2) gefiltert werden?
2. Frage: kann ich es doch umsetzen - weil seit der RouterOS V6.41 von "Master-Port" auf "Bridge Hardware Offloading" umgestellt wurde?
Mir ist bewusst das MAC - Filterung sehr unsicher ist. Mir geht es hier nur darum ob es grundsätzlich möglich wäre.
Bin über jeden Tipp / Info dankbar!
Kartoffelesser
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 629158
Url: https://administrator.de/contentid/629158
Ausgedruckt am: 09.11.2024 um 01:11 Uhr
6 Kommentare
Neuester Kommentar
Zitat von @kartoffelesser:
1. Frage: kann ich es überhaupt so umsetzen - weil in der Firewall doch nur IP-Adressen und keinen MAC-Adressen gefiltert werden?
Ja kannst du definitiv, der Mikrotik kann MAC Filtering auch noch in der Forward-Chain! Probiers einfach selbst aus, just works.1. Frage: kann ich es überhaupt so umsetzen - weil in der Firewall doch nur IP-Adressen und keinen MAC-Adressen gefiltert werden?
2. Frage: kann ich es doch umsetzen - weil seit der RouterOS V6.41 von "Master-Port" auf "Bridge Hardware Offloading" umgestellt wurde?
Das hat mit obigem Thema so viel zu tun wie ein Fisch mit einem Fahrrad .Zitat von @kartoffelesser:
Also hat das "Bridge Hardware Offloading" nichts mit einer Bridge als "Kopplung" zwischen zwei Netzen zu tun?
Es hat nichts mit dem Thema MAC-Adresse als Filter zu tun, weil du schriebst "Frage: kann ich es doch umsetzen".Also hat das "Bridge Hardware Offloading" nichts mit einer Bridge als "Kopplung" zwischen zwei Netzen zu tun?
Aber natürlich muss man bei der Verwendung von mehreren VLAN innerhalb einer Bridge das VLAN-Filtering in der Bridge aktivieren, das hat aber auch nichts mit den MAC-Adressen was du oben vorhast zu tun.
Bidde .
Nur zur Info: Hardware-Offloading ist bei aktiviertem VLAN-Filtering innerhalb einer Bridge bei den meisten Mikrotiks nicht supported weil dabei die CPU hier zwingend involviert ist! Echtes Hardware-Offloading inkl. Bridge-VLAN Filterung können nur die Mikrotik CRS 3xx Modelle.
Hier nachzulesen
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_O ...
Hier nachzulesen
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_O ...