В RouterOS DHCP Snooping вклю­чает­ся имен­но на bridge, где все пор­ты устрой­ства уже будут счи­тать­ся недове­рен­ными. Но что­бы перек­лючить нуж­ный порт, тебе понадо­бит­ся перехо­дить в нас­трой­ки самого интерфей­са. DHCP Snooping тре­бует вдум­чивой нас­трой­ки, в ходе которой нуж­но будет отталки­вать­ся от осо­бен­ностей инфраструк­туры.

info

В DHCP Snooping может исполь­зовать­ся Option 82. Это воз­можность про­токо­ла DHCP, которая при­меня­ется для опо­веще­ния сер­вера DHCP о том, с какого пор­та пос­тупил DHCP-зап­рос. Так­же переда­ется информа­ция об исполь­зовании DHCP Relay. Некото­рые спе­цифи­чес­кие сце­нарии тре­буют Option 82, так что при необ­ходимос­ти вклю­чай ее. На сай­те MikroTik есть стра­ница о нас­трой­ке Snooping, где учтен сце­нарий с исполь­зовани­ем «Опции 82».

Вклю­чаем DHCP Snooping на bridge:

Наз­нача­ем доверен­ный порт в кон­тек­сте DHCP Snooping:

На этом кон­фигура­ция DHCP Snooping завер­шена, на недове­рен­ных пор­тах будут отсе­кать­ся слу­жеб­ные DHCP-сооб­щения, которые обыч­но исполь­зуют­ся имен­но DHCP-сер­вером. Пос­коль­ку при ата­ке зло­умыш­ленник дол­жен навязать свой адрес в качес­тве шлю­за сооб­щени­ем DHCPOFFER, эти нас­трой­ки помога­ют пол­ностью пре­дот­вра­тить ее. Одна­ко будь осто­рожен с нас­трой­ками, что­бы не выз­вать неп­редна­мерен­ный DoS.

Настройка файрвола

Firewall в RouterOS — это под­систе­ма, которая отве­чает за обра­бот­ку и филь­тра­цию всех пакетов. К нас­трой­ке фай­рво­ла, на мой взгляд, дол­жно быть осо­бое отно­шение, потому что от нее зависит и про­изво­дитель­ность устрой­ства, и уро­вень безопас­ности.