Vymezanie ARP tabulky v routery zyxel vmg3927-t50k

[opto]

[mp3turbo]

https://www.shutterstock.com/image-phot ... 465848.jpg

a teraz nam prosim vysvetli, preco to potrebujes [poznamka : mikrotik to samozrejme vie, a dokaze aj naskriptovat pri splneni 100 podmienok]
z mojej strany uplne seriozna otazka

[opto]

Kvôli dočasnému zakázaniu prístupu na internet pre niektoré home zariadenia:

- si potrebujem overiť ktorá MAC adresa v ARP tabuľke pribudne keď sa zapne konkrétne home zariadenie.
- napr. aj vymazať - najlepšie konkrétne MAC zariadenie z ARP tabuľky - aby ho bolo treba reštartovať pre obnovenie prístupu - cez broudcast ?

[mp3turbo]

cele zle. Poprve riadenie pristupu vobec nespravis takymto sposobom, podruhé a to popohlavné ked aj [nejako divne] vymazes MAC zaznam, co sa stane o desatinu milisekundy neskor ked sa zariadenie znovu posnazi komunikovat s tymto routrom, jeho default gatewayom ?

spravne, MAC zaznam sa znovu prida do tabulky, odkial bol vymazany (ano, isteze Mikrotik platforma vie osetrit aj taketo pripady, ale z inych domacich routrov mimo velkych sietovych znaciek a'la Cisco, Fortinet, Juniper... ma nenapada nic). Navyse absolutne neriesis moznost, ze si znaly "utocnik" zmeni MAC adresu v tvojej sieti... v tom momente ti je cele "riadenie pristupu" naprd a uplne naprd, pokial je akymkolvek sposobom manualne cize ak musis rucne riesit tieto situacie.

Ak mas zaujem, prosim popis situaciu ktoru sa snazis vyriesit. "Chodi ku mne vnucik, ktory je moc velky sikovnicek a s prinesenym notebookom..." pripadne "Chcem zabranit nejakej cinskej hracke, pouzivanej na zavlazovanie zahrady, aby mala pristup na internet pretoze sa bojim ze posiela nejake udaje na velín"... uplne normalne ludskymi slovami. Eventualne popis, co sa v danej sieti nachadza v zmysle riadiacich sietovych zariadeni : ak tam mas len tento Zyxel router, musime skumat jeho moznosti. Pozreme manual, skusime navrhnut riesenie. Ak tam mas este aj zariadenie XYZ alebo ABC, mozno sa nam zmenia dostupne moznosti k nejakej zaujimavejsej alternative (neverim tomu, ze by v normalnom beznom domacom routriku nebolo nejake riadenie pristupu, takze na 99.9999% to ma aj tento Zyxel. Otazka je, ci to nie je primarne len media converter namiesto plnokrvneho routriku, fakt sa mi nechce kukat manual dopredu).

[opto]

Chcem občas nasierať jednu osobu tj. zakázať na pár minút alebo hodín prístup na internet pre jej telefón a televízor.

...............
Vo WIFI nastaveni v MAC autentifikaci som nastavil odmítnut dc-90-88-27-ec-ae a zariadenie "dc-90-88-27-ec-ae" prístup na Internet nestratilo.

MAC autentifikace
Tato obrazovka umožňuje konfigurovat zařízení Zyxel tak, aby umožňovalo exkluzivní přístup ke konkrétním zařízením (Povolit) nebo vyloučit konkrétní zařízení z přístupu k zařízení Zyxel (Odepřít) na základě zařízení ( s) MAC adresa. Každé ethernetové zařízení má jedinečnou adresu MAC (Media Access Control). Je přiřazen v továrně a skládá se ze šesti párů hexadecimálních znaků, například 00: A0: C5: 00: 00: 02. Musíte znát MAC adresy zařízení, které chcete povolit / zakázat pro konfiguraci této obrazovky.
..............................

[mp3turbo]

podla odcitovaneho textu sa jedna o riadenie pristupu NA ZYXEL SAMOTNY, avsak nie na internet.

nasierat osoby je velmi dobra vlastnost, to sa zide.

[opto]

aha "NA ZYXEL SAMOTNY"
a keďže sa MAC filter dá použiť aj n UTP vstupoch tak som si domyslel to čo potrebujem.

[mp3turbo]

jasan, velmi lahko sa to popletie.
Pozri v tom interfejsi ci mas nejake ine moznosti riadenia pristupu na internet, je to uplne bezna funkcia.

[Famous]

Pripadne danu MAC naparovat na staticku IP a nastavit nan nezmyslene QoS? Horsie nez nemat internet je mat brutalne pomaly internet.
Ale stale neviem preco by si takto chcel niekoho nasierat dobrovolne? Ratam, ze ked to je tvoja wifina, tak ludia co maju heslo su blizki a nechces ich zbytocne nasierat, ci? Preco by si mal zakazovat na par minut telefon a televizor? Jedine ze by zena neposluchala alebo decka.

[opto]

Vyskusam vymysliet nieco cez toto
..........................................
Rodičovská kontrola
Rodičovská kontrola vám umožňuje omezit čas, kdy může uživatel přistupovat k Internetu, a zabránit uživatelům v prohlížení nevhodného obsahu nebo v účasti na konkrétních online aktivitách.

Tato obrazovka umožňuje povolit rodičovskou kontrolu a zobrazit pravidla a plány rodičovské kontroly. Můžete omezit čas, kdy může uživatel přistupovat k Internetu, a zabránit uživatelům v prohlížení nevhodného obsahu nebo v účasti na zadaných online aktivitách. Tato pravidla jsou definována v profilu. These rules are defined in a Parental Control Profile (PCP).
................

[opto]

Všimol som si že po reštarte routera:
- má ARP tabuľka menej riadkov a zmení sa aj poradie. Asi sa vymažú a obnovia len od práve zapnutých zariadení ?
- Jeden cudzí mobil sa deklaruje s viacerými (min 2 ) MAC adresami. Dá sa v mobile nastaviť utajovanie/menenie MAC adresy ?

......................
navod
https://www.orange.sk/fileadmin/orange/ ... ntrola.pdf
whatsapp porty
https://www.google.com/search?q=TCP+por ... e&ie=UTF-8

[Bono83]

Väčšina mobilov ma nastavenu nahodnu MAC adresu. Ale da sa to nastavit pre kazdu Wifi siet inak sa mi zda.

[mp3turbo]

spravanie, ktore si si vsimol, je v poriadku. ARP zaznamy z prevadzkovych tabuliek vypadaju a pridavaju sa podla okamzitej prevadzkovej situacie (je tam nejaky ARP timeout, po ktorom zaznam vypadne ak masina nekomunikuje).

Jeden mobil s dvomi MAC naraz je zvlastny (to by sa nemalo stat, mozno je tam jeden zaznam z prvotneho pripojenia a druhy zaznam z druhotneho lebo mobil odpadol z wifiny a este nestihol prvy zaznam vyexpirovat a zmiznut z tabulky), ale je pravda, ze mobily robia tzv. randomizaciu teda nahodne si urcia MAC, s ktorou sa pripoja na wifinu. Robia to v zaujme bezpecnosti. https://source.android.com/docs/core/co ... n-behavior

Nemam dojem, ze by sa to "nastavovalo pre kazdu wifi zvlast" ako zaznela posledna veta nadomnou, skor je to len dosledok tej vseobecnej randomizacie. Nie som si vedomy, ze by mobily umoznovali uzivatelovi zmenit MAC adresu cielene/rucne (rootnute samozrejme ano, to je ale ina debata). Mobilom sa moc nevenujem, takze s tymto citatom prosim nechodte do telky aby som si neuhnal hanbu.

[HellAngel]

Ano, mobil (android,apple...) vie menit svoju MAC Adresu. Preto mozes mat v ARP tabulke 2x ten isty mobil, pretoze zmenil svoj MAC adresu a router mu pridelil dalsiu IP Adresu. Ta prva sa vymaze, ako nahle vyprsi casovy limit v routri a zariadenie sa pod touto ip a mac adresou uz routru v sieti neozve. Mac a mobiloch sa menia same a automaticky. Urcite to ide aj manualne, ale to ako pisal turbo, by si potreboval mat rootnuty telefon.

[michalesku]

Ja len dodam, ze jedna vec sa predsa len da nastavit pre kazdu siet zvlast - je to prepnutie fyzickej MAC adresy a tej random vygenerovanej.. Na to root nie je potrebny, standardne to ide v Androide aj iOS..

Cela tato tema je trochu menej pochopitelna, uz tu bola spomenuta rodicovska kontrola, ale akonahle si mobil zmeni MAC adresu, smola..
Dalsia moznost je okrem hesla nastavit aj filter MAC adries a tak vsetkych pripojenych donutit, aby v tejto sieti pouzivali fyzicku adresu.. Ci to za to stoji a ma to zmysel, si musi povedat kazdy sam..

No nic, ked budem na dochodku, snad budem mat na praci nieco zazivnejsie, ako nasierat nejake osoby..