kartoffelesser
Goto Top

Mikrotik RouterOS - V6.45.9: ist mittels Firewall und "Interface-List" eine MAC-Adressen Filterung möglich?

Hallo Spezialisten und Admins,

in meinem Testnetz (u.a. Mikrotik RB1100 AHX2- V6.45.9), bestehend aus 10 VLANs würde ich gerne mittels einer Interface-Liste Clients (Notebooks) via MAC-Adressen den Zugang in das Internet auf dem RB1100 erlauben bzw. verbieten.

Dazu würde ich:
1. Interfaces, Interface List, Lists, Add New eine Liste namens "VLANliste" erstellen
2. Interfaces, Interface List mit Add New der "VLANliste" die Vlans - VLAN1, VLAN2 und VLAN3 zuordnen
3. IP, Firewall, Add New zwei neue Regeln hinzufügen (natürlich für jedes Notebook zwei eigene Regeln in der richtigen Reihenfolge):
Firewallregel - Nummer10:
Chain: forward / In. Interface List: VLANliste / Src. MAC Address: AA:BB:CC:DD:EE:FF / Action: accept / Comment: Notebook1 - Erlaube AA:BB:CC:DD:EE:FF den Zugang ins Internet via "In.Interface List" - durch die VLANliste (VLAN1 bis VLAN3)
Firewallregel - Nummer11:
4. Chain: forward / In. Interface: all VLAN / Src. MAC Address: AA:BB:CC:DD:EE:FF / Action: drop / Comment: Notebook1 - Blockiere AA:BB:CC:DD:EE:FF den Zugang ins Internet - bei allen VLANs (VLAN1 bis VLAN10)

Erhofftes Ergebnis: das Notebook mit der MAC-Adresse AA:BB:CC:DD:EE:FF kann als wechselndes Mitglied der VLAN1 bis VLAN3 in das Internet. In den VLANs 4 bis 10 ist der Zugang ins Netz gesperrt.

1. Frage: kann ich es überhaupt so umsetzen - weil in der Firewall (Layer3) doch nur IP-Adressen und keine MAC-Adressen (Layer2) gefiltert werden?

2. Frage: kann ich es doch umsetzen - weil seit der RouterOS V6.41 von "Master-Port" auf "Bridge Hardware Offloading" umgestellt wurde?


Mir ist bewusst das MAC - Filterung sehr unsicher ist. Mir geht es hier nur darum ob es grundsätzlich möglich wäre.

Bin über jeden Tipp / Info dankbar!


Kartoffelesser

Content-Key: 629158

Url: https://administrator.de/contentid/629158

Printed on: July 20, 2024 at 06:07 o'clock

Mitglied: 146707
Solution 146707 Dec 06, 2020 updated at 15:59:24 (UTC)
Goto Top
Zitat von @kartoffelesser:
1. Frage: kann ich es überhaupt so umsetzen - weil in der Firewall doch nur IP-Adressen und keinen MAC-Adressen gefiltert werden?
Ja kannst du definitiv, der Mikrotik kann MAC Filtering auch noch in der Forward-Chain! Probiers einfach selbst aus, just works.
2. Frage: kann ich es doch umsetzen - weil seit der RouterOS V6.41 von "Master-Port" auf "Bridge Hardware Offloading" umgestellt wurde?
Das hat mit obigem Thema so viel zu tun wie ein Fisch mit einem Fahrrad face-wink.
Member: kartoffelesser
kartoffelesser Dec 06, 2020 at 16:06:18 (UTC)
Goto Top
Hallo primal,
DANKE für Deine Antwort!
Also hat das "Bridge Hardware Offloading" nichts mit einer Bridge als "Kopplung" zwischen zwei Netzen zu tun?
Mitglied: 146707
146707 Dec 06, 2020 updated at 16:09:53 (UTC)
Goto Top
Zitat von @kartoffelesser:
Also hat das "Bridge Hardware Offloading" nichts mit einer Bridge als "Kopplung" zwischen zwei Netzen zu tun?
Es hat nichts mit dem Thema MAC-Adresse als Filter zu tun, weil du schriebst "Frage: kann ich es doch umsetzen".

Aber natürlich muss man bei der Verwendung von mehreren VLAN innerhalb einer Bridge das VLAN-Filtering in der Bridge aktivieren, das hat aber auch nichts mit den MAC-Adressen was du oben vorhast zu tun.
Member: kartoffelesser
kartoffelesser Dec 06, 2020 at 16:09:09 (UTC)
Goto Top
DANKE!!
Mitglied: 146707
146707 Dec 06, 2020 at 16:10:01 (UTC)
Goto Top
Bidde face-smile.
Mitglied: 146707
146707 Dec 06, 2020 updated at 16:22:07 (UTC)
Goto Top
Nur zur Info: Hardware-Offloading ist bei aktiviertem VLAN-Filtering innerhalb einer Bridge bei den meisten Mikrotiks nicht supported weil dabei die CPU hier zwingend involviert ist! Echtes Hardware-Offloading inkl. Bridge-VLAN Filterung können nur die Mikrotik CRS 3xx Modelle.
Hier nachzulesen
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_O ...