Для уникнення несанкціонованого підключення до мережі на обладнанні Mikrotik можна налаштувати ARP фільтр.
Ідея полягає в тому, що MAC-адреса та IP-адреса пристроїв в мережі не пов'язані між собою. Якщо який-небудь пристрій підключається до локальної мережі в звичайних умовах, DHCP-сервер отримує від нього MAC-адресу, присвоює за цією MAC-адресою IP-адресу і вже по цій парі адрес можна формувати кадри. Окрім того є вразливість протоколу ARP, яка полягає в тому, що на запит що є за пристрій з такою то IP-адресою може відповісти не тільки сам пристрій з відповідним MAC а будь-який пристрій в локальній мережі. І всі пристрої мережі будуть цьому довіряти.
Якщо до мережі підключені пристрої, вони попадають в список ARP
Ми можемо ці записи зробити статичними для того, щоб вони збереглиця в роутері і відповідно до них була привязка пристроїв.
Для того, щоб ARP-лист не формувався автоматично потрібно у властивостях Bridge властивість ARP переключити в режим reply-only. Тобто роутер буде відповідати тільки зареєстрованим адресам а нові адреси він не буде реєструвати.
Якщо у Вас налаштовані VLAN, це потрібно буде зробити для кожного VLAN
Якщо потрібно ще звузити можливості підключення, то даний параметр можна змінити на кожному порті.
Отже ми сформували таблицю "дозволених" пристроїв яка має три колонки: ip-адреса, mac-адреса і інтерфейс.
Для того щоб не прописувати вручну на пристроях параметри мережі, потрібно в налаштуваннях DHCP-сервера зробити привязку IP-адреси до MAC для всіх пристроїв.
Отже короткий план.
-підключили всі пристрої до мережі.
- ARP List записи зробили статичними
- видані адреси DHCP зробили статичними (відповідно перевіряємо щоб вони співпадали з статичними ARP-записами).
- вмикаємо на інтерфейсах параметр ARP в режим reply-only
і по ідеї все працює): до мережі можуть підключатись тільки конкретні пристрої. Це буде виглядати як ніби пристрій підключився: конект є, але нічого не працює.