ARP su RouterOS: reply-only e binding statici per la sicurezza
Usare la modalità ARP reply-only combinata con voci ARP statiche o lease DHCP statici per impedire ARP spoofing e IP hijacking sulle reti WISP.
Il protocollo ARP (Address Resolution Protocol) mappa gli indirizzi IP ai MAC address sulla rete locale. Per default RouterOS impara dinamicamente le associazioni IP-MAC, ma questo espone la rete ad attacchi di ARP spoofing (un host malevolo risponde falsamente alle richieste ARP). La modalità reply-only e i binding statici eliminano questo rischio.
Modalità ARP disponibili per le interfacce
| Modalità | Comportamento | Uso tipico |
|---|---|---|
| enabled (default) | Impara e risponde a tutte le richieste ARP | LAN fidate |
| reply-only | Risponde SOLO a IP con voce ARP statica; non impara nulla | Reti clienti WISP (anti-spoofing) |
| proxy-arp | Risponde per conto di altri host | Reti bridged, WDS, alcuni scenari VPN |
| local-proxy-arp | Risponde sulla stessa interfaccia (isola i client tra loro) | Hotspot, segmenti con client-isolation |
| disabled | ARP disattivato (servono voci statiche su tutti gli host) | Casi molto particolari |
Configurare reply-only su un'interfaccia
# Imposta reply-only sull'interfaccia LAN /interface/bridge set bridge-lan arp=reply-only # Oppure su un'interfaccia ethernet /interface/ethernet set ether2 arp=reply-only # Verifica /interface/bridge print detail where name=bridge-lan # Cerca: arp=reply-only
Aggiungere voci ARP statiche (binding MAC-IP)
Con reply-only attivo, il router risponde solo agli IP con una voce statica nella tabella ARP. Ogni client autorizzato deve avere la sua voce. Il metodo più semplice in un ambiente DHCP è combinare lease DHCP statici con add-arp=yes sul server DHCP.
# Voce statica per un CPE specifico /ip/arp add \ address=192.168.88.100 \ mac-address=AA:BB:CC:DD:EE:FF \ interface=bridge-lan \ comment="CPE Rossi Mario - ID cliente 1042" # Metodo alternativo: abilitare add-arp sul server DHCP # (aggiunge automaticamente voci ARP per ogni lease statico) /ip/dhcp-server set dhcp-lan add-arp=yes # Verifica tabella ARP /ip/arp print # Le voci statiche mostrano 'S' nei flag, le dinamiche 'D'
Combinazione raccomandata per WISP
- Assegna lease DHCP statici a tutti i CPE (MAC → IP fisso).
- Imposta
add-arp=yessul server DHCP → crea automaticamente voci ARP statiche. - Imposta
arp=reply-onlysull'interfaccia rivolta verso i CPE. - Risultato: solo i CPE con MAC registrato ricevono risposta ARP e ottengono il loro IP. Un CPE non registrato o con MAC camuffato non funziona.
add-arp=yes e i lease statici (così le voci ARP statiche esistono già), POI attiva arp=reply-only. Se inverti l'ordine su una rete in produzione, stacchi tutti i client finché non rinnovano il lease. Fallo in finestra di manutenzione.arp=reply-only + lease statici DHCP + add-arp=yes è una difesa efficace contro ARP spoofing e IP hijacking nelle reti WISP. Non sostituisce una segmentazione VLAN per client, ma aggiunge un layer di controllo significativo senza costi aggiuntivi. Ricorda: un cliente che cambia manualmente il proprio IP non potrà comunicare con il router.Continua con
Configura senza fatica con l'AI
In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.
Prova WispOS