Come eseguire uno script per ogni lease del DHCP server di Mikrotik

Come eseguire uno script per ogni lease del DHCP server di Mikrotik

WirelessGuru-Mikrotik-HowtoAvete mai avuto l'esigenza di eseguire uno script per ogni client che si collega al dhcp server di Mikrotik?

Nelle recenti versioni di RouterOS è stata proprio aggiunta questa possibilità. Nella sezione DHCP server abbiamo una nuova opzione chiamata "Lease Script" che ci permette di eseguire un comando/script per ogni client a cui viene assegnato l'indirizzo ip dal nostro DHCP server o per ogni client che viene rilasciato/liberato dall'elenco dei leases (in quanto non  più presente).
Come variabili, a livello global, nel nostro script possiamo utlizzare:

  • $leaseBound 
  • $leaseServerName
  • $leaseActMAC
  • $leaseActIP

$leaseBound avrà valore 1 se il server ha dato l'ip a quel client, mentre ha valore 0 (zero) se il server ha liberato l'ip dai leases.

$leaseServerName avrà il nome del server DHCP che ha dialogato con il client.

$leaseActMAC conterrà il mac-address della macchina che ha ricevuto l'ip dal server.

$leaseActIP infine conterrà il l'ip assegnato in quel momento al client.

Pagine: 1 | 2 | Single Page

Proteggere gli host collegati alla WAN del captive portal da potenziali attacchi dei client della rete Hotspot WiFi

Proteggere gli host collegati alla WAN del captive portal da potenziali attacchi dei client della rete Hotspot WiFi

Nelle installazioni di aree hotspot non dobbiamo sottovalutare la sicurezza della rete del cliente.

La rete hotspot vista la sua natura di rete "aperta" agli ospiti è necessario sia isolata dalla rete LAN dove risiedono normalmente server ed host "a rischio". Per fare questo andrebbero utilizzate delle vlan o addirittura reti parallele isolate e con accesso ad internet dedicato.

Purtroppo troppo spesso questo non è fattibile, sia per problematiche di budget che strutturali. In questi casi è necessario configurare opportunamente il firewall interno degli apparati RouterOS per garantire un buon livello di sicurezza.

Ipotizzando che la lan da proteggere sia 10.10.0.0/16 andremo ad aggiungere questa semplice regola:

/ip firewall filter add chain=forward \
hotspot=from-client dst-address=10.10.10.0/24 \
action=reject reject-with=icmp-net-prohibited \
comment="Protect LAN from Hotspot Clients"

Con questa regola di firewall abbiamo inibito qualunque accesso/attacco alla rete del cliente dalla sottorete gestista dall'hotspot. Semplice no?

Vediamo in dettaglio cosa abbiamo inserito:

hotspot=from-client dst-address=10.10.10.0/24 \

in questo punto definiamo 2 cose importanti:

  1. Cosa dobbiamo proteggere: tutta la classe 10.10.10.0/24
  2. Da chi. E qui vieni in aiuto l'helper "hotspot" del firewall di RouterOS che ci permette di catturare tutti i pacchetti generati dai client dell'area WiFi
action=reject reject-with=icmp-net-prohibited \
comment="Protect LAN from Hotspot Clients"

qui andiamo a specificare l'azione da attuare sui pacchetti identificati. L'action "reject" si occupa di bloccare il pacchetto e di inviare al client un errore icmp "Network Prohibited", in alternativa è utilizzabile anche l'action "drop" che in maniera silente blocca solo il traffico indesiderato.

In chiusura non dimentichiamoci di inserire un commento descrittivo alla regola inserita in modo da poterne comprendere il significato anche a distanza di mesi dalla configurazione.

Pagine: 1 | 2 | Single Page