[ lumpy986 @ 31.01.2013. 18:17 ] @
Ovako,

radi se o mikrotiku RB750GL, na eth4 je adresa 192.168.15.1 i na tom portu se nalazi samo jedan racunar 192.168.15.2. Preusmerena je javna adresa na taj racunar i otvoreni samo potrebni portovi da se ne bi imao izlaz prema internetu http(80). Desava se da oni koji koriste racunar promene adresu u istom opsegu ili izaberu iz drugog opsega koji se koristi u mrezi (na drugim eth) cime dobijaju izlaz prema netu, ali nemam pristup preko javne adrese. Kako napraviti pravilo da na tom portu moze da funkcionise samo ta adresa (192.168.15.2), tj u slucaju promene da se eth4 disable-uje i bude mi zapisano u log kada je to uradjemo. Poskusavao sam traziti po netu da bih uradio neku skriptu, ali izgleda mi ne ide od ruke prvo naci korisno a drugo napisati pravilno.

Hvala na pomoci :)
[ Kolins Balaban @ 31.01.2013. 21:22 ] @
a da pokusas ovako nesh:

Code:
/ip firewall filter add chain=input in-interface=eth4 src-address=!192.168.15.2 action=drop


to bi otprilike trebalo da znaci, da ce biti dropovan (odbacen) sav ulazni saobracaj na portu eth4, sem onaj saobracaj kojemu je source adresa 192.168.15.2
[ lumpy986 @ 31.01.2013. 21:48 ] @
Probacu to ujutru, a ima li nacin da se zabelezi u log ili bilo kako drugacije, ako dodje do promene IP adrese 192.168.15.2?
[ Kolins Balaban @ 31.01.2013. 21:55 ] @
ne znam kakav je to system u pitanju koji se nalazi na toj IP adresi. uopstalom, ako si admin tog systema mozes zabraniti promjenu ip adrese na tom systemu (npr, kreiranjem limited usera, editovanjem local group policy itd itd), ali isto tako mozes zabraniti pristup mikrotiku (odnosno servisima koje nudis tim korisnicima) svim korisnicima koji samostalno ukucaju IP adresu (tad moras koristiti DHCP). Uputstvo za to imas na pedjinom sajtu, tacnije ovdje: http://wireless.uzice.net/uput...o-dissalow-users-to-change-ip/

[ lumpy986 @ 31.01.2013. 22:28 ] @
Problem je sto se na tom racunaru nalazi simensova scada, korisnik mora da bude administrator i ne sme biti na domenu, da moze lako bih napravio polisu. Problem je sto operateri za tim racunarom hoce da koriste internet u toku nocne ili druge smene kad nema dovoljno nadzora, mnogi su se snasli koji poznaju neke osnove da promene adresu u istom opsegu ili opseg sa drugog eth porta. Ono sto zelim je da tim menjanjem adresa nemaju izlaz prema internetu i da vidim kad se to desava kako bi se ta osoba sankcionisala. Zamisli kako u pola noci vise na XXX sajtovima, uleti virus i srusi sistem. Lako bih ja da se moze samo ghost uraditi i dici sistem, nego se mora reinstalirati sve sto potraje par sati a za to vreme proizvodnja stoji.
[ acatheking @ 31.01.2013. 22:52 ] @
Mozes na tom eth4 interfejsu da podesis arp=reply-only, i da uneses u arp tabelu staticki zapis za tu ip adresu i odgovarajucu mac adresu.
[ Kolins Balaban @ 31.01.2013. 23:53 ] @
ok, taj dio smo rijesili. nema pristup tiku niko sem ove ip adrese 192.168.15.2 (a ona ima pristup samo odredjenim servisima). njemu sad treba nacin, koji ce mu reci kad se promjenila ip adresa na tom compu (i eventualno ko ju je promjenio, ukoliko se koriste razliciti accounti za pristup tom pc-u). mozda ti ovo moze pomoci:

http://www.intelliadmin.com/in...t-notified-when-an-ip-changes/
[ Predrag Supurovic @ 01.02.2013. 00:22 ] @
Prva stvar koju radiš u takvoj situaciji je da tim interfejsu dodeliš mali ip opseg, i tvom slučaju, trebaju ti samo dve IP adrese + network + broadcast, dakle /30. Tada može da menja IP adresu koliko hoće, samo jedna će da radi, ona koja mu je dodeljena. Nema potrebe ništa više da podešavaš na ruteru.

Da bi otkrio da li je promenio ip adresu, možeš da pustiš neki ping watchdog koji ce to pokrenuti skriptu kada ping to te ip adrese ne ide.
[ lumpy986 @ 01.02.2013. 06:03 ] @
Ne mora slati se mail, ping watchdog ce biti sasvim dovoljan jer se zna tacko ko koristi racunar u to vreme, a sve je pod jednim nalogom.
[ anon115774 @ 01.02.2013. 10:16 ] @
Jel se to vrti na windows-u? Imas u event logu samog operativnog sistema zapis kada je promenjena IP adresa.

A mozes i u firewall pravilo da dodas zapis koji ce da hvata sve sto stize sa neke druge adrese osim one koja treba da bude i da action bude "log" pa ce onda u log da ti zapise svaki pokusaj komunikacije koji nije sa adrese koja treba da bude na tom portu.
[ lumpy986 @ 01.02.2013. 18:22 ] @
Jeste win, kako napraviti taj firewall pravilo?
[ anon115774 @ 02.02.2013. 07:35 ] @
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

Ovde sve pise.

Inace, ja bih tu napravio nekoliko koraka odnosno pravila:

1. proverim da li je na address listi taj ip koji je stigao (a koji nije 192.168.15.2) i ako nije napravim zapis u log-u
2. ako nije na address listi dodam ga na address listu
3. dropam saobracaj sa svega sto nije 192.168.15.2

Mozes i bez drugog koraka i address liste ali onda rizikujes da se prepuni log jer ce onda za svaki paket koji stigne da pravi zapis a ovako ce da pravi zapis samo prvi put pre nego sto ga doda na address listu (i svaki sledeci put ako stavis da zapis na address listi ima neki timeout).
[ lumpy986 @ 03.02.2013. 20:34 ] @
Citat:
Kolins Balaban:
a da pokusas ovako nesh:

Code:
/ip firewall filter add chain=input in-interface=eth4 src-address=!192.168.15.2 action=drop


to bi otprilike trebalo da znaci, da ce biti dropovan (odbacen) sav ulazni saobracaj na portu eth4, sem onaj saobracaj kojemu je source adresa 192.168.15.2



Ovo je odradilo savrseno poslic, samo jos da uspem sa log-om tim, vise sam hardwerski nastrojen i radim elektroniku, tako da jos uvek ucim oko mikrotika :)
[ Predrag Supurovic @ 03.02.2013. 22:36 ] @
Tako nepotrebno trosis resurse na ruteru. Podesi mreznu masku na tom portu kako treba i ako korsinik promeni IP do rutera nece doci nijedan paket, pa ruter nece morati nista ni da blokira.