kartoffelesser
Goto Top

Mikrotik RouterOS - V6.45.9: ist mittels Firewall und "Interface-List" eine MAC-Adressen Filterung möglich?

Hallo Spezialisten und Admins,

in meinem Testnetz (u.a. Mikrotik RB1100 AHX2- V6.45.9), bestehend aus 10 VLANs würde ich gerne mittels einer Interface-Liste Clients (Notebooks) via MAC-Adressen den Zugang in das Internet auf dem RB1100 erlauben bzw. verbieten.

Dazu würde ich:
1. Interfaces, Interface List, Lists, Add New eine Liste namens "VLANliste" erstellen
2. Interfaces, Interface List mit Add New der "VLANliste" die Vlans - VLAN1, VLAN2 und VLAN3 zuordnen
3. IP, Firewall, Add New zwei neue Regeln hinzufügen (natürlich für jedes Notebook zwei eigene Regeln in der richtigen Reihenfolge):
Firewallregel - Nummer10:
Chain: forward / In. Interface List: VLANliste / Src. MAC Address: AA:BB:CC:DD:EE:FF / Action: accept / Comment: Notebook1 - Erlaube AA:BB:CC:DD:EE:FF den Zugang ins Internet via "In.Interface List" - durch die VLANliste (VLAN1 bis VLAN3)
Firewallregel - Nummer11:
4. Chain: forward / In. Interface: all VLAN / Src. MAC Address: AA:BB:CC:DD:EE:FF / Action: drop / Comment: Notebook1 - Blockiere AA:BB:CC:DD:EE:FF den Zugang ins Internet - bei allen VLANs (VLAN1 bis VLAN10)

Erhofftes Ergebnis: das Notebook mit der MAC-Adresse AA:BB:CC:DD:EE:FF kann als wechselndes Mitglied der VLAN1 bis VLAN3 in das Internet. In den VLANs 4 bis 10 ist der Zugang ins Netz gesperrt.

1. Frage: kann ich es überhaupt so umsetzen - weil in der Firewall (Layer3) doch nur IP-Adressen und keine MAC-Adressen (Layer2) gefiltert werden?

2. Frage: kann ich es doch umsetzen - weil seit der RouterOS V6.41 von "Master-Port" auf "Bridge Hardware Offloading" umgestellt wurde?


Mir ist bewusst das MAC - Filterung sehr unsicher ist. Mir geht es hier nur darum ob es grundsätzlich möglich wäre.

Bin über jeden Tipp / Info dankbar!


Kartoffelesser

Content-ID: 629158

Url: https://administrator.de/contentid/629158

Ausgedruckt am: 24.11.2024 um 02:11 Uhr

146707
Lösung 146707 06.12.2020 aktualisiert um 16:59:24 Uhr
Goto Top
Zitat von @kartoffelesser:
1. Frage: kann ich es überhaupt so umsetzen - weil in der Firewall doch nur IP-Adressen und keinen MAC-Adressen gefiltert werden?
Ja kannst du definitiv, der Mikrotik kann MAC Filtering auch noch in der Forward-Chain! Probiers einfach selbst aus, just works.
2. Frage: kann ich es doch umsetzen - weil seit der RouterOS V6.41 von "Master-Port" auf "Bridge Hardware Offloading" umgestellt wurde?
Das hat mit obigem Thema so viel zu tun wie ein Fisch mit einem Fahrrad face-wink.
kartoffelesser
kartoffelesser 06.12.2020 um 17:06:18 Uhr
Goto Top
Hallo primal,
DANKE für Deine Antwort!
Also hat das "Bridge Hardware Offloading" nichts mit einer Bridge als "Kopplung" zwischen zwei Netzen zu tun?
146707
146707 06.12.2020 aktualisiert um 17:09:53 Uhr
Goto Top
Zitat von @kartoffelesser:
Also hat das "Bridge Hardware Offloading" nichts mit einer Bridge als "Kopplung" zwischen zwei Netzen zu tun?
Es hat nichts mit dem Thema MAC-Adresse als Filter zu tun, weil du schriebst "Frage: kann ich es doch umsetzen".

Aber natürlich muss man bei der Verwendung von mehreren VLAN innerhalb einer Bridge das VLAN-Filtering in der Bridge aktivieren, das hat aber auch nichts mit den MAC-Adressen was du oben vorhast zu tun.
kartoffelesser
kartoffelesser 06.12.2020 um 17:09:09 Uhr
Goto Top
DANKE!!
146707
146707 06.12.2020 um 17:10:01 Uhr
Goto Top
Bidde face-smile.
146707
146707 06.12.2020 aktualisiert um 17:22:07 Uhr
Goto Top
Nur zur Info: Hardware-Offloading ist bei aktiviertem VLAN-Filtering innerhalb einer Bridge bei den meisten Mikrotiks nicht supported weil dabei die CPU hier zwingend involviert ist! Echtes Hardware-Offloading inkl. Bridge-VLAN Filterung können nur die Mikrotik CRS 3xx Modelle.
Hier nachzulesen
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_O ...