MikroTik RouterOS 建置 PPPoE Server 防止 ARP 攻擊 (房東必備) MikroTik RouterOS 建置 PPPoE Server 防止 ARP 攻擊 (房東必備)
  Mikrotik RouterOS       ez      2012-08-24

PPPoE(point to point protocal over Ethernet),是屬PPP協議在乙太網中的完美結合。

因為PPPoE不使用ARP協議,也就不會產生ARP資訊,徹底杜絕了目前網路上無所不在的ARP攻擊。

並且PPPoE組網不會改變原來的局域網拓撲結構,極大簡化了網管人員的工作量。

因此,在目前很多高端的網路安全產品中均採用了該協議來提高網路的安全性。

ARP病毒是局域網中的一個不可回避的問題,防範ARP攻擊的方法也是五花八門,軟的硬的都有。

要徹底化解ARP病毒頑癥,最根本的方法就是局域網內不用ARP協議,採用內網PPPoE撥號上網。

※簡單來說就是 PPPoE 沒有使用 ARP,所以不會受到 ARP 攻擊。  

首先您的 RouterOS 的 WAN  Port 必須已經設定完成,可正常連線上網,設定方式可參考之前的文章。

ADSL用戶 (PPPoE):http://blog.cscworm.net/?p=1853

Cable用戶 (DHCP Client):http://blog.cscworm.net/?p=1821

固定IP (Static IP):http://blog.cscworm.net/?p=1843  

開始設定:

設定 IP 給指定網路介面使用:

使用 Winbox 登入 Router OS ,選擇選項 IP > Addresses:

開啟 Addresses 視窗後,按下 + 號 新增項目:

Address:輸入要給分享器的 IP,例如 10.1.1.1 子網路遮罩為 255.255.255.0,所以輸入 10.1.1.1/24。

Interface:選擇要當 PPPoE Server 的網路介面,給用戶連線的介面,這邊選擇 LAN。

※此時只要網路線插在 LAN Port 的電腦就可以找到 RouterOS 的 IP 為 10.1.1.1。  

設定 PPPoE Server 的 IP 分配範圍: 選擇選項 IP > Pool:

選擇 Pools 分類項,按下 + 號 新增項目:

Name:設定要對此 Pool 的命名,例如這是要給 PPPoE 使用的 Pool,所以輸入 PPPoE_Pool。

Addresses:設定 PPPoE Server 的 IP 分配範圍,例如 10.1.1.2 到 10.1.1.254,所以輸入 10.1.1.2-10.1.1.254。

新增 PPPoE Server: 選擇選項 PPP:

選擇 PPPoE Servers 分類項,按下 + 號 新增項目:

Service Name:輸入要給此服務的名稱,例如:PPPoE_Server。

Interface:選擇要讓哪個介面能使用 PPPoE Server 功能,例如:LAN。

Keepalive Timeout:當使用者異常中斷 PPPoE 連線,多久後自動移除連線。例如:10 表示 10秒。

One Session Per Host:用戶是否為單一個 Session 對應到 Host,請打勾免得A進入B出去。

Authentication:認證方式,依照個人需求選取。

選擇 Profiles 分類項,按下 + 號 新增項目:

選擇 General 分類項:

Name:輸入要給此設定的名稱,例如:PPPoE_Profile。

Local Address:輸入用戶連線到 PPPoE Server 的 IP,前面有指定網路介面 LAN 的 IP 位址為 10.1.1.1,所以輸入 10.1.1.1。

Remote Address:選擇用戶連線到 PPPoE Server 時分配的 IP 範圍,選擇剛才新增的 PPPoE_Pool。

選擇 Limits 分類項:

Session Timeout:用戶每次連到 PPPoE Server 的最長時間,例如:一天,就輸入 01:00:00。

Idle Timeout:用戶連線中,但是未使用網路,超過時間會自動斷線,例如:十分鐘,就輸入 00:10:00。

Rate Limit (rx/tx):用戶網路限速,例如:上傳 512K、下載 1M,就輸入 512K/1M。

※rx/tx 單位請勿使用小數點喔,會變成無上限!如果要 1.5M 就改為 1536K。

接下來將 Porfile 設成 PPPoE Server 的預設值。

選擇 PPPoE Servers 分類項,選擇剛才新增的項目 PPPoE_Server 進行編輯。

Default Profile:選擇剛才新增的 Profile,例如:PPPoE_Profile。

新增 PPPoE Client 連線帳號:

選擇 Secrets 分類項,按下 + 號 新增項目:

Name:輸入用戶連線帳號。

Password:輸入用戶連線密碼。

Service:輸入用戶可使用那些連線服務,這邊選擇 pppoe。

Profile:選擇剛剛設定的 PPPoE_Profile。

完成 PPPoE Server 後,還必須設定 NAT,才能讓其他電腦透過 NAT 上網,否則只能連線不能上網喔!  

設定 NAT: 選擇選項 IP > Firewall:

選擇 NAT 分類項,按下 + 號 新增項目:

選擇 General 分類項:

Chain:選擇 srcnat。 因為我們要做 NAT,所以是內網封包要往外送,所以選擇 srcnat。

Src. Address:輸入內網的 IP 網段,例如:10.1.1.1 到 10.1.1.254,就輸入 10.1.1.0/24。

※此項目必要輸入,因為如果沒有設定,日後開放 Port 對外,連入的 IP 皆會顯示為 Gateway 的 IP 。

選擇 Action 分類項,Action 項目選擇 masquerade。

NAT 設定完成:

設定電腦連線到 PPPoE Server:

開啟 控制台 > 網路連線 > 建立一個新連線

連線成功畫面:

查詢目前 PPPoE Server 連線中的用戶:

選擇 Active Connections 分類項,可以看到目前連線中的用戶。

其他進階設定教學:

如何讓每個 PPPoE 用戶僅能同時連線一個,只需修改 PPPoE Server 設定即可。

Max Session:修改為 1 就表示同時只允許一個連線。


標籤:   Mikrotik RouterOS

我要留言