Bloccare scansione MAC

[Valerio_74]

Buonasera, ho un problema non riesco a bloccare le scansioni dei mac da winbox e da neighbors dei router dei clienti.
La configurazione è la seguente:

Lato cliente Router Mikrotik che effettua la chiamata PPPoE che è collegato a un apparato radio in bridge che a sua volta è collegato a un AP sempre in bridge che va a finire in un interfaccia bridge di una RB3011 dove all'interno ci sono tutti gli ap del settore e un EoIP Tunnel per far passare la PPPoE fino al concentratore. Ora inserendo questi filtri su bridge filter:

Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop mac-protocol=ip dst-port=5678 ip-protocol=udp log=no log-prefix=""

1 chain=input action=drop mac-protocol=ip dst-port=5678 ip-protocol=udp log=no log-prefix=""

2 chain=output action=drop mac-protocol=ip dst-port=5678 ip-protocol=udp log=no log-prefix=""

3 chain=input action=drop mac-protocol=ip dst-port=8291 ip-protocol=tcp log=no log-prefix=""

4 chain=forward action=drop mac-protocol=ip dst-port=8291 ip-protocol=tcp log=no log-prefix=""

dovrebbe bloccarmi le scansioni e invece continuo a vederle dal cliente.

Ciao

Grazie

[xanio]

Ciao Valerio_74,
ma piuttosto che bloccare la scansione con le rules di firewall, perchè non disabiliti il discovery / neighbors direttamente su quell'interfaccia che non vuoi stia in ascolto.

PS: in ogni caso non penso che riesca a bloccare via TCP/UDP i mac discovery in quanto funziona a L2!

[EnricoLorenzoni]

io proverei creando un filtro del bridge per fare il drop del traffico con mac destinazione == 01:00:0c:cc:cc:cc
ma se ci dici esattamente quali apparati compaiono nel discovery di winbox possiamo capire meglio dove conviene intervenire