wireless.uzice.net - Uzice bez zice

UPUTSTVO: MIKROTIK - KAKO KORISNICIMA ONEMOGUĆITI DA SAMOVOLJNO MENJAJU SVOJE IP ADRESE

U mrežama zasnovanim na internet protokolima, svaki računar ili mrežni uređaj dobija jedinstvenu adresu. Zovemo je IP adresa. Koju će adresu računar dobiti to zavisi od konfiguracije mreže u koju je povezan.

Najlogičnije je, da kada računarima dodelimo IP adrese, te adrese koristimo kao identifikaciju i prava pristupa, i druge privilegije zasnivamo na tim adresama. To se tako najčešće i radi.

Međutim, adresa nije stalni podatak i sam korisnik može na svom računaru da promeni adresu. To samo po sebi znači da ne možemo tek tako da se oslonimo na IP adrese kao identifikatore računara.

Pored IP adresa, svaki mrežni adapter ima i fabričku oznaku, MAC broj. Ovaj broj je jedinstven za svaki mrežni uređaj. MAC broj se koristi na nižem mrežnom sloju od IP adresiranja i praktično svaka komunikacija sa računarom se ustvari i obavlja preko MAC broja samo što je to u TCP/IP mreži transparentno. Da bi ruter mogao da zna kom računaru treba da isporuči neki paket on mora da zna i njegovu IP aresu i MAC broj. Zato ruter ima ARP tabelu (Address Resolution Protocol) u kojoj čuva uparene MAC brojeve i IP adrese. Preko ove tabele on za svaku IP adresu zna koji je to MAC broj računara. Ruteri obično ARP listu prave automatski: čim ostvare komunikaciju sa nekim računarom, odmah u ARP listu beleže MAC i IP tog računara.

Iako je i MAC broj moguće menjati, to zahteva bolje poznavanje računarskih mreža od strane korisnika i specijalizovan softver, pa je nešto sigurnije osloniti se na MAC broj umesto IP adrese.

Ovde je problem što MAC broj nije svugde dostupan. Naime, MAC adresa se vidi samo u jednoj fizičkoj mreži. MAC infomacija ne prolazi dalje od rutera, odnosno, samo ruter koji je u direktnoj vezi sa nekim računarom, zna koji mu je MAC broj. Ostali ruteri taj računar poznaju samo po IP adresi.

No ovo nam je sasvim dovoljno. Mikrotik omogućava da isključimo automatsko upisivanje u ARP listu, već da to radimo ručno. To u praksi znači da 'e ruter moći da komunicira samo sa onim računarima čije IP i MAC sami upišemo u ARP tabelu.

Ovo već vodi i ka mogućnosti kontrole. Možda ne možemo sprečiti korisnika da promeni IP adresu svog računara, ali zato možemo da podesimo ruter da onemogući konekcije računara kome je IP adresa promenjena - ako za jedan računar sa jednim MAC brojem u ARP listu upišemo da mu je par određena IP adresa, on će u mreži moći da radi samo ako ima podešenu tu IP adresu.

Da bi smo to postigli potrebno je da na mrežnom adapteru Mikrotika preko koga su povezani računaru lokalnoj mreži (uzećemo da se taj interfejs zove lan) isključimo automatsko upisivanje u ARP tabelu, komandom:

/interface ethernet set lan arp=reply-only

Ovim ćemo podesiti inerfejs da samo odgovara na ARP upite. Automatskog upisivanja u ARP tabelu više neće biti.

Sledeće je da ručno u ARP tabelu upišemo parove MAC i IP. Samo oni računari za koje se poklope ovi parovi će moći da komuniciraju sa mrežom.

/ip arp add address=192.168.1.12 mac-address=00:01:4e:00:a6:0d:1c interface=lan

/ip arp add address=192.168.1.13 mac-address=00:20:31:a0:fe:21:08 interface=lan

U ovom primeru upisali smo podatke za dva računara, jedan ima IP adresu 192.168.1.12 i MAC broj 00:01:4e:00:a6:0d:1c, dok drugi ima IP adresu 192.168.1.13 i MAC 00:20:31:a0:fe:21:08. Samo ova dva računara, i to samo ako imaju ove IP adrese mogu da komuniciraju sa mrežom.

Nepraktično je ručno upisivati podatke u ARP listu, naročito ako se cela mreža na neki način automatski konfiguriše. Recimo, ako koristite DHCP za dodelu IP adresa i drugih parametara korisničkim računarima, onda na DHCP serveru možete podesiti da automatski, kada nekom računaru dodeli IP adresu, upiše odgovarajuće podatke u ARP listu. To podešavate u samim parametrima DHCP servera:

/ip dhcp-server add name=lan-dhcp address-pool=lan-dhcp-pool interface=lan lease-time=2h add-arp=yes

Ovom komandom smo dodali dhcp server pod imenom lan-dhcp, koji korisnicima dodeljuje IP adrese iz opsega podešenog u lan-dhcp-pool (poll treba da je podešen unapred), server se odaziva na lan interfejsu, adrese dodeljuje u trajanju od 2 sata i prilikom dodele IP adrese automatski upisuje par IP/MAC u ARP tabelu rutera.

E sada možete da računate sa mnogo većom sigurnošću da IP adresu koju ste dodelili korisniku, zaista on i koristi, pa parival koja kontrolišu rad mreže mogu da se oslanjaju na IP adrese.

Predrag Supurović