Na drugim ruterima se u te svrhe se koristi http://www.fwbuilder.org/ koji je odlično rešenje a besplatno... ali izgleda da RuterOS ima neku svoju verziju ipchains koju razvija vremenom...
znam da je ovo glupo što sam postavio ali možda nađeš nešto na google-u na tu temo koja fukncioniše za RuterOS (dok čekaš da neko da neki pametan predlog)...

Lista za MAC-ove ce verovatno biti u nekoj od sledecih verzija ROS-a. Napravi neku skriptu koja ce ti ubacivati rule-ove, a ako samo hoces da preneses sa drugog rutera mozes da koristit "/export". Odes pod "/ip firewall filter" i pokrenes "/export", cak mozes da stavis i "file=nazivfajla" pa da ti exportuje pravila u fajl.

Skriptu već imam, riječ je o bash skripti na linuxu koja generira rule-ove jednom dnevno, spaja se na mikrotik putem ssh i u dijelovima od 50 rulova ih izvršava, uz pauzu od par sekundi između svakog dijela. U dijelovima i s pauzom ih izvršavam zbog toga što postoji relativno mnogo pravila (napravio sam export i imam ih 688 samo u filter, a ima još i nat....), ako ih sve odjednom izvršim na mikrotiku znao je prvi dio prihvatiti, i nakon toga ako se dobro sjećam je bacao syntax error. Tako da imam 2 problema - sporost, i što nikad nisam siguran je li skripta sve prebacila ako ne gledam što se događa, pa ju ne mogu staviti u recimo cron job. A i ne znam što svakodnevni upload tolike količine pravila radi s fleš memorijom na RB...

Sad, ako će raditi import s ovom količinom pravila, onda mi to rješava većinu problema jer mogu jednostavno generirati fajl u tom formatu, a i pretpostavljam da će ići brzo. U svakom slučaju ću provjeriti.

Ako ima još ideja...

Hvala!

Lp,
Marko

oprosticete mi na neznanju, ali mozete li mi, ukratko, objasniti zasto vam treba takva komplikacija sa MAC listom? Cemu uopste sluzi takva patnja?

Isto sam hteo da pitam... to je onda prilicno los dizajn, ali sam ipak odlucio da ne pokrecem to pitanje.



Cenim da zavisi od hw-a na kom vrtis ROS.

Mozda mozes da ukljucis i SMB nekako u pricu. Da pravila povlacis preko mreze.

Apsolutno se slažem da je loš dizajn. U principu pravila uopće nema puno i nisu pretjerano kompleksna, ali imam nekih 250 (lupam) MAC adresa, i za svaku postoje tri različita pravila. Kad bi postojala opcija liste mac adresa, ne bi ih bilo više od 15-20.

Zašto MAC filtar? Jer je to trenutno ok zakrpa dok ne implementiram nešto drugo. Mreža je otvorena jer joj se pristupa sa raznih uređaja (mobiteli, PCjevi sa različitim OS-ovima, kojekakvi AP-ovi u client modu...). Također, na mreži nisu samo Mikrotik-ovi kao ap-ovi, već ima par debiana (što isto nije problem) i par običnih AP-ova (poput Airlive 5460AP - potencijalni problem). Ako bih na mrežu stavio neku radius autentifikaciju to bi dijelu klijentskih uređaja onemogućilo pristup + zahtjevalo bi rekonfiguriranje svih klijentskih uređaja, a to nije opcija (community mreža, svi zovu kad nešto ne radi, održava tko kad stigne u slobodno vrijeme...).

Donedavno je sve bilo na linuxu i onda me ovakvi problemi nisu mučili, ali sad smo počeli sve prebacivati na Mikrotik (baš iz razloga jer nema tko održavati kante koje crknu svako malo), i sad mi je problem odraditi stvari koje sam na linuxu sređivao za 5min.

Možda sam postavio pitanje u kontra smjeru, ajde da krenem od cilja.

Cilj:
Omogućiti SVIMA slobodno spajanje na mrežu i posjećivanje nekoliko web sajtova od lokalnog značaja. Sa ostalih stranica napraviti redirekt na stranicu s informacijama o community-u.
Omogućiti članovima community-a pristup svim resursima.
Mreža treba raditi na svim uređajima koji podržavaju bar 802.11b.
Uskoro: pristup internetu raditi samo kad je korisnik spojen na lokalni chat server (ovo bi eliminiralo zafrkanciju s MAC adresama)

I to je praktički to. Problem je što broj članova varira, pogotovo početkom godine i osvježava se svakodnevno.

Popis je uvijek ažuran na web aplikaciji, odakle ga trenutno linux mašine skidaju i redistribuiraju na Mikrotik.

Ono što je sad problem s MAC adresama sutra će (možda) biti problem sa IP adresama kad u priču ubacim neki chat server, jer će u tom slučaju listu IP adresa trebati ažurirati real-time kako se tko spaja i odspaja (stvarno ne želim ubiti fleš memoriju routera stalnim pisanjem i brisanjem).

Nadam se da će moje objašnjenje potaknuti nove ideje, možda Mikrotik ima nešto out-of-the-box što ja ne znam a da mi može riješiti problem.

Lp,
Marko

Mislim da je najbolje da sve vaše napore koncentrišete na implementaciju tog nečeg drugog.
Oslanjati se na MAC adrese (pogotovo uređaja nad kojima nemate potpunu kontrolu) je
prosto nepouzdano, "prljavo" i nekonvencionalno (više hack nego) rješenje.

Opet da me ne shvatis kao nekog ko filozofira, ali mislim da bi ti HotSpot rjesenje radilo sve sto tebi u zivotu treba. Cak sta vise, pretpostavljam da bi radilo "iz prve" cim bi se ruter konfigurisao.
Eto, ideja za razmisljanje. ;)

A zar ne bi bilo lakse tim MAC adresama na DHCP-u dodeliti staticke IP adrese i onda te adrese juriti po listama umesto MAC-ova?

Hm... Gledam tvoj post i nekako mi nije potpuno jasan...

Hoces da imas 3 razlicita tipa pravila za odredjene mac adrese na mrezi ?

Zasto ne mangle-ujes te MAC adrese u odredjene grupe i onda tim grupama odredis odredjena pravila.

Mislim da ti je to najlakse resenje.

Napisi nam sta si trenutno uradio (kako to otprilike trenutno radi) i sta bi novo/bolje hteo da postignes... Ovako se samo vrtimo u krug...

To bi značilo da za svakog korisnika na svakom AP-u moram ručno upisati MAC-IP parove. I stanje bih morao ažurirati ručno ako netko promijeni pristupni uređaj ili slično.



Trenutno na jednoj linux mašini bildam firewall pravila, spajam se na mikrotik s te mašine putem ssh, brišem postojeća pravila i postavljam nova (od kojih je 99,9% istih, najčešće se mijenja/dodaje par zapisa). Ovo je više-manje automatizirano, mada tu zna biti problema, i događa se jednom dnevno po noći.

Trenutna situacija:
- Svi se mogu spojiti na mrežu. Oni čije MAC adrese nisu u whitelisti imaju pristup samo do nekih desetak web stranica. Ukoliko pokušaju pristupiti drugim stranicama redirekta ih se na interni sajt s podacima i linkovima na dozvoljene stranice.
- Oni čije mac adrese jesu u whitelisti (za svaki mac ima par pravila) dopušta se pristup svugdje.

Željena situacija:
- Svi se mogu spojiti na mrežu. Uređaji s nepoznatim MAC adresama mogu posjetiti samo određene sajtove.
- Uređaji s poznatim adresama imaju pristup mreži + određenim sajtovima.
- Uređaji koji su ulogirani na lokalni XMPP imaju pristup kompletnoj mreži i svim resursima, bez obzira je li njihova mac adresa poznata ili ne.

Kompromis koji je dovoljno ok ako gore spomenuta željena situacija nije moguća:
- Svi se mogu spojiti na mrežu i pristupiti samo određenim stranicama.
- Oni koji su ulogirani na lokalni XMPP mogu pristupiti svemu.

Gledam ovo i sve mi se čini da mi to pokriva ovaj kompromisni slučaj. Ima li šanse da na smislen način ostvarim željenu situaciju?

Mangle nikad nisam koristio tako da mi takvo rješenje nije niti palo na pamet. U svakom slučaju pročitat ću o tome.

Sto Mikrotik nije DHCP?



Ne razumem, to je apsolutno najgora stvar koju si mogao da uradis. Pa zasto direktno na Lin-u ne uporedis nova pravila sa starim i izmenis/ubacis samo nova na Tik?