Maxim
как тогда решить вопрос?
Владимир
воткнуть эти два устройства в тик
Maxim
просто разрешить только двум мак-адресам работать через определённый интерфейс
Владимир
запилить ещё один тик на месте свича... и там уже арп
Владимир
просто неуправляемый свич будет пускать любого в эти два устройства из своих портов. а если это будет тик - то не будет
Владимир
арп рипли онли максимум лишит постороннего интернета в данном случае, а не огородит злоумышленника от общей сети
Владимир
моя логика была бы такой
1) Постоянно контролировать пинг до устройств... если пинг вырос - значит в разрыв поставлена ещё какая-то железка... ОТРУБИТЬ ПОРТ
2) В сети появилось ещё одно устройство - ОТРУБИТЬ ПОРТ
3) В сети появились два одинаковых мака - ОТРУБИТЬ ПОРТ
4) Наплодить в сети ОЧЕНЬ МНОГО виртуальных интерфейсов с разными маками и в случае клонирования именно этих маков - ОТРУБИТЬ ПОРТ
Владимир
главное определите для себя круг опасностей. А потом уже придёт осознание как защититься
Maxim
Опсность одна - пришёл кто-то включил свой ноут в порт неуправляемого свитча, настроил адрес из локалки
Maxim
Хочу исключить работу на порту любого мака кроме тех, что разрешены
Владимир
Надо лишить его инета или вообще возможности работы в сети этой?
Maxim
Надо лишить его инета или вообще возможности работы в сети этой?
Инета я всех лишил, выделив всё в отедльную сеть и не сделав NAT
Maxim
хотел бы чтобы они до MT не достучались
Oleg
А если Reply Only использовать в ARP
Oleg
ну можно конечно PPPoE поднять
Oleg
с сертификатами если
Владимир
я это и предложил выше, но Панда не советует)
да просто изначально Т.З, не выстроено... поэтому взял по максимуму... если просто "не достучались до МТ и мак клонировать не могут" то репли онли нужный вариант
Maxim
Описываю задачу проще
Kirilka
Опсность одна - пришёл кто-то включил свой ноут в порт неуправляемого свитча, настроил адрес из локалки
удалить из сети порты неуправляемого свитча
Maxim
Кабель приходит в комнату охраны, он один, другого нет, сделать больше одного не можем. В комнате охраны стоит свитч, мелкий, мыльница. В него включен видеорегистратор и VoIP шлюз. и есть пара свободных портов. В портах нет DHCP, в сети нет NAT - нет интернета.
Maxim
Не хочу чтоб охранники втыкивали в свитч что-то своё)
Ахмет
Разбери свич. Отпаяй порты от выводов плат и кинь на них 5 вольт с питания. Предупреди охрану что втыкать нельзя. Когда воткнут их устройству кирдык. Ты предупреждал, охранник обучился. Оставайся со мной и я научу тебя всему хорошему.
Ахмет
Всего хорошего!
Maxim
Разбери свич. Отпаяй порты от выводов плат и кинь на них 5 вольт с питания. Предупреди охрану что втыкать нельзя. Когда воткнут их устройству кирдык. Ты предупреждал, охранник обучился. Оставайся со мной и я научу тебя всему хорошему.
Аппладирую стоя! Радикальные решение наше всё).... нужно подводить 230 вольт
Ахмет
Вариант 2. Если шнур 4 парный - пусти по синей-коричневой второй сигнал. Два устройства окучили, свич продаем на авито
Ахмет
Охранники строем идут охранять
Maxim
Вариант 2. Если шнур 4 парный - пусти по синей-коричневой второй сигнал. Два устройства окучили, свич продаем на авито
Ой, сто лет назад таким занимался... Можно и так зафигачить)
evgenii76
а как на микротах сделать, чтобы когда на порту 2 мака и больше появилось-рубить порт?
Semyon
Владимир
Владимир
Разбери свич. Отпаяй порты от выводов плат и кинь на них 5 вольт с питания. Предупреди охрану что втыкать нельзя. Когда воткнут их устройству кирдык. Ты предупреждал, охранник обучился. Оставайся со мной и я научу тебя всему хорошему.
Отпариваем порты, засовываем в свич петарду побольше. Приматываем к чиркашу петарды разбитую лампочку. Воткнутый пачкорд подаёт питание на лампочку
Maxim
С - смекалочка
Ахмет
Отпариваем порты, засовываем в свич петарду побольше. Приматываем к чиркашу петарды разбитую лампочку. Воткнутый пачкорд подаёт питание на лампочку
Как так выходит: Ахмет - я, а терорист - Ты?
Владимир
Можно ампулу со спорами гонконгскоги сифилиса положить рядом с петардой
Ахмет
Злая Панда, учи меня жить,
Каземат подари мне свободу!
Oleg
Сургучем запечатать
Oleg
Порты
Oleg
Не эстетично. Потом осколки собирать
Алексей
Кабель приходит в комнату охраны, он один, другого нет, сделать больше одного не можем. В комнате охраны стоит свитч, мелкий, мыльница. В него включен видеорегистратор и VoIP шлюз. и есть пара свободных портов. В портах нет DHCP, в сети нет NAT - нет интернета.
бюджет даже хаплайтом заменить тупую железку не позволяет, ну этож смешно :)
Maxim
бюджет даже хаплайтом заменить тупую железку не позволяет, ну этож смешно :)
не бюджет, а банальная лень)... ради такой задачи ещё и хаплайт покупать... свитч валялся - его и воткнули
Алексей
не бюджет, а банальная лень)... ради такой задачи ещё и хаплайт покупать... свитч валялся - его и воткнули
Не лень а жадность, если ты сам всё-таки хочешь, делаешь диверсию, валишь всё на тупую железку(которая валялась глючная) и говоришь давайте купим другую цена вопроса 1200-1300 никто не откажется, проверено :)
Алексей
это не те деньги
Владимир
Да просто раздвоить витуху и на скрутки без коннекторов посадить
Semyon
На скрутку? Идея с лампой и петардой более гуманная.
Владимир
Владимир
Если делать скрутки вот по такому принципу - то ничего не будет... Это даже надёжнее чем розетку в стену прятать.
=
Владимир
ну или скотчЛоками. наилучший вариант
blyumazeiko
блин уж лечше скотчлоками действительно)
Maksim (InCorp)
Ребят, а bucket size до какого значения можно увеличивать? базовое 0.100
Maksim (InCorp)
вопрос снят
cgooq
cgooq
no_name
Semyon
Владимир
Я так никогда не делаю. Так что мне пофиг. И вообще сегодня почти пятница
Sergey
Я так никогда не делаю. Так что мне пофиг. И вообще сегодня почти пятница
Это было сказано для всех, но не для меня 😂 . Завтра я панду напою водкой с пивом, он и не такое покажет и расскажет.
Moneron 🇷🇺
хотел бы чтобы они до MT не достучались
Верное ваше предположение. С Пандой разберёмся :)
Moneron 🇷🇺
а как на микротах сделать, чтобы когда на порту 2 мака и больше появилось-рубить порт?
Смотря на каком. На црс-ах можно штатными средствами
Moneron 🇷🇺
Maksim (InCorp)
Оно вам надо?
Видимо да, сообщения в чат иногда по два раза приходят, после увеличения пока жалоб не было
Moneron 🇷🇺
Вы сначала разберите, что такое бакет. Ведро с токенами. А потом уже подкручивайте. Статейку на хабре показать?
Vassiliy
Вы сначала разберите, что такое бакет. Ведро с токенами. А потом уже подкручивайте. Статейку на хабре показать?
Покажите, для общего развития
Moneron 🇷🇺
Mikrotik замечательно работает с приоритезацией трафика. Делает это он с помощью очередей. Думаю, мало для кого это было секретом. А вот КАК именно работают очереди — вы можете почитать в этой статье. Сразу скажу, она навороченная и предназначена для вникания в суть процесса, не для лёгкого прочтения. https://habrahabr.ru/post/307214/
ildar
Александр
С праздником господа!
cgooq
??
cgooq
Пятница?
Eugene
С праздником, уважаемые коллеги!
cgooq
Александр
С днём сисадмина
Andrey
С праздником, уважаемые коллеги! :)
Vassiliy
С праздником коллеги! ;)
Алексей
с праздником товарищи, ура ура ура!