0120;크/196;ᔘ1; RB20111060;나 RB3011를 라우터/196; 사용Ȣ16;/140;고 합니다. 라우터 0145;단에 스위치를 달고 그 0145;에 1109;비를 구성Ȣ16;lj16; ,163;1012; ኔ1;1004;/140;고 Ȣ16;lj16;데요,
1060;유lj16; 와1060;Ǻ12;샤크 መ1;1004;/196; 1109;비와 서버간1032; 패ᓟ1; 캡쳐Ȣ16;lj16; ,163;1012; ኔ1;1004;/140;고 합니다.
160;상황1008; 1109;비(클라1060;Ǻ16;트)와 1109;비와 통신할 1228;Ǻ12;서버가 1080;고, VPN서버가 1080;습니다. 1109;비와 1228;Ǻ12;서버lj16; 각각 다른1109;소에 1080;1004;며 .168; 다 각각 별도1032;
라우터 0145;에 연결.104;Ǻ12; 1080;고, 1109;비와 서버lj16; 기본 라우ᔚ1;ᅆ1;/196;가 무1312;,148; 각1088;1032; 라우터에서 VPN1012; 타고 돌기 ǐ12;문에 서/196;간에lj16; 공공 1064;터넷ኖ1;1004;/196;
통신 안합니다.
서버lj16; 안1204;한 1109;소에 1080;1648;만, 1109;비와 라우터lj16;, 불특1221; 다수가 함ǥ12;/196; 다룰 수lj16; 없1648;만 Ǻ12;1724;든 물리1201;1004;/196; 노출.104;Ǻ12; 1080;Ǻ12;서 마1020;만 먹1004;면
통신1012; 감청NJ17;Ȣ16;여 통신내용1012; 통해 원Ȣ16;1648; 않lj16; 서버1217;근 가능성1032; 우/140;가 1080;습니다. VPN1008; AES2561012; 사용Ȣ16;기에 감청해서 간단7176; 내용1060;
풀릴만한 수1456;1008; 아니라고 생각.121;니다만, 1333;단 라우터1032; 설1221;1004;/196; 원천1201;1004;/196; ኔ1;고 dz10;습니다. 물리lj16; 1109;비lj16; 1333;단 라우터 0145;에추후 추가.112;
가능성도 1080;1648;만 그/111;,172; 많1648;lj16; 않습니다.
1. 라우터에 구멍1012; ኔ1;아버리고 비활성화 시Ȗ12;고 필요할 ǐ12; 활성화시Ȗ12;면 .104;1648; 않lj12;냐?
--> 한번 깔아.160;면 관리할 사람1060; 없1012; ,163; 같아 여,148;상 처1020;에 1105;아놔야 할 ,163; 같습니다.
2. 라우터lj16; 기본1201;1004;/196; 필요한 통신포트 1060;외에lj16; 모든 1064;/아웃 통신1012; ኔ1;아놨습니다.
3. 패ᓟ1;감청1012; 위해 허가.104;1648; 않1008; PC መ1;1012; 1333;단 라우터 포트에 연결할 ᅆ1;우 DHCP가 안.104;도/197; 1088;ᇼ1;1004;/196; 차단 스크립트를 ,152;Ǻ12;놨습니다.
물론 static ip1648;1221;할 ᅆ1;우 ARP reply-only/196; L2/112;벨ǥ12;터 아예 통신 안.104;,172; ኔ1;았습니다.
1060;런 상황1064;데, 라우터lj16; 0120;허가 PC가 1217;근Ȣ16;lj16; ,163;1012; 차단했1648;만, 라우터 0145;단에 스마트스위치나 더0120;허브를 달고 그 0145;에 1109;비를 달아
PC를 연결Ȣ16;면, 결국 감청NJ17;합니다. 0145;에 스위치를 연결 못Ȣ16;,172; 할 수 1080;나요? 스스/196; 찾아보/140; 했lj16;데 영Ǻ12;/196; 무슨 Ȗ12;워드/196; ,160;색해야 할 1648;
감1312;차 안1105;혀 1656;문 올/160;습니다.. 아니 애초에 1060;런 ,172; 1060;론1201;1004;/196; 가능한가요???
±Ùµ¥ Á¦°¡ ¾Ë±â·Î´Â µÑ ´Ù mikrotik¿¡¼ Áö¿ø ¾È ÇÏ´Â °É·Î ¾Æ´Âµ¥ ¸Å´ÏÁöµå l2°¡ Çϳª ÀÖ¾î¾ß ÇÒ °Í °°½À´Ï´Ù.
pvlanÀº ¾ÈµÇ³ª º¸³×¿ä..
¤Ð.¤Ð
¹°¸®ÀûÀ¸·Î 뚧´Â°Ç NJ14;¾ø½À´Ï´Ù. ¤»¤»
ÇÑ ¹ø »ç¿ëÇغ¸°í ½Í½À´Ï´Ù~
¾ÖÃÊ¿¡ ÀÌ ½ºÅ©¸³Æ®´Â È£½ºÆ®³×ÀÓÀ¸·Î ÆÇ´ÜÇϱ⠶§¹®¿¡ È£½ºÆ®³×ÀÓÀ» ¶È°°ÀÌ Çعö¸®¸é DHCP¸¦ ¹ÞÀ» ¼ö Àֱ⿡ ħÀÔÀڵ鿡°Ô ¾àÁ¡ÀÌ ¹ß°¢µÇÁö
¾Ê°Ô²û ÇÏ´Â ¼ö ¹Û¿¡ ¾ø½À´Ï´Ù. ±× ´ë½Å ÇÊ¿äÇÑ Æ÷Æ® ÀÌ¿Ü¿¡ ¾Æ¿ô¹Ù¿îµå±îÁö ´Ù ¸·¾Æ¹ö·Á¼ ¾Æ¹«°Íµµ ÇÒ ¼ö ¾ø°Ô ¸¸µé¾ú½À´Ï´Ù.
/system scheduler
add disabled=yes interval=1m name=block_invalidhost on-event=\
block_invalidhost policy=read,write,test start-time=startup
/system script
add name=block_invalidhost owner=admin policy=read,write,test source=":local D\
HCPSERVER \"server1\";\r\
\n:local BRIDGEFILTER \"bridge1\";\r\
\n\r\
\n:foreach i in=[/ip dhcp-server lease find dynamic=yes active-server=\$DH\
CPSERVER] do={\r\
\n :local DhcpDynIP [/ip dhcp-server lease get \$i address];\r\
\n :local DhcpDynMAC [/ip dhcp-server lease get \$i mac-address];\r\
\n :local DhcpDynHOST [/ip dhcp-server lease get \$i host-name];\r\
\n :local IfMacExist [/interface bridge filter find src-mac-address=\"\$\
DhcpDynMAC/FF:FF:FF:FF:FF:FF\"];\r\
\n :local invalidHOST [:pick \$DhcpDynHOST 0 4];\r\
\n \r\
\n:if ( (\$invalidHOST !=\"ƯÁ¤È£½ºÆ®\") || ([:len \$DhcpDynHOST]=0) ) do={\r\
\n :if (\$IfMacExist != \"\") do={\r\
\n# :log error (\"filtering invalid host\".\$DhcpDynMAC. \"a\
lready exists\")\r\
\n } else= {\r\
\n /interface bridge filter add action=drop chain=input in-b\
ridge=\$BRIDGEFILTER src-mac-address=\"\$DhcpDynMAC/FF:FF:FF:FF:FF:FF\" co\
mment=\"invalid host \$DhcpDynHOST\";\r\
\n :log warning (\"a new invalid host filter\" . \"\$DhcpD\
ynHOST\" . \"MAC:\" . \$DhcpDynMAC);\r\
\n }\r\
\n }\r\
\n}\r\
\n/ip dhcp-server lease remove [find host-name !=\"ƯÁ¤È£½ºÆ®\"]"
°¨»çÇÕ´Ï´Ù!