Servizi di rete (DHCP, DNS…)Avanzato

ARP su RouterOS: reply-only e binding statici per la sicurezza

Usare la modalità ARP reply-only combinata con voci ARP statiche o lease DHCP statici per impedire ARP spoofing e IP hijacking sulle reti WISP.

Il protocollo ARP (Address Resolution Protocol) mappa gli indirizzi IP ai MAC address sulla rete locale. Per default RouterOS impara dinamicamente le associazioni IP-MAC, ma questo espone la rete ad attacchi di ARP spoofing (un host malevolo risponde falsamente alle richieste ARP). La modalità reply-only e i binding statici eliminano questo rischio.

Modalità ARP disponibili per le interfacce

enabled (default) — ARP dinamico standard: il router impara e risponde a tutte le richieste ARP.
reply-only — il router risponde SOLO a IP presenti nella tabella ARP statica. Non impara nuove voci dinamicamente. I client non elencati non ricevono risposta.
proxy-arp — il router risponde per conto di altri host (utile in reti bridged o per WDS).
disabled — ARP completamente disabilitato (richiede voci statiche su tutti gli host).
local-proxy-arp — risponde alle richieste ARP sulla stessa interfaccia (evita che i client si vedano direttamente).

Configurare reply-only su un'interfaccia

Attivare ARP reply-only su bridge-lan

# Imposta reply-only sull'interfaccia LAN
/interface/bridge set bridge-lan arp=reply-only

# Oppure su un'interfaccia ethernet
/interface/ethernet set ether2 arp=reply-only

# Verifica
/interface/bridge print detail where name=bridge-lan
# Cerca: arp=reply-only

Aggiungere voci ARP statiche (binding MAC-IP)

Con reply-only attivo, il router risponde solo agli IP con una voce statica nella tabella ARP. Ogni client autorizzato deve avere la sua voce. Il metodo più semplice in un ambiente DHCP è combinare lease DHCP statici con add-arp=yes sul server DHCP.

/ip/arp — aggiungere voci statiche manualmente

# Voce statica per un CPE specifico
/ip/arp add \
  address=192.168.88.100 \
  mac-address=AA:BB:CC:DD:EE:FF \
  interface=bridge-lan \
  comment="CPE Rossi Mario - ID cliente 1042"

# Metodo alternativo: abilitare add-arp sul server DHCP
# (aggiunge automaticamente voci ARP per ogni lease statico)
/ip/dhcp-server set dhcp-lan add-arp=yes

# Verifica tabella ARP
/ip/arp print
# Le voci statiche mostrano 'S' nei flag, le dinamiche 'D'

Combinazione raccomandata per WISP

Assegna lease DHCP statici a tutti i CPE (MAC → IP fisso).
Imposta add-arp=yes sul server DHCP → crea automaticamente voci ARP statiche.
Imposta arp=reply-only sull'interfaccia rivolta verso i CPE.
Risultato: solo i CPE con MAC registrato ricevono risposta ARP e ottengono il loro IP. Un CPE non registrato o con MAC camuffato non funziona.

SICUREZZA: la combinazione arp=reply-only + lease statici DHCP + add-arp=yes è una difesa efficace contro ARP spoofing e IP hijacking nelle reti WISP. Non sostituisce una segmentazione VLAN per client, ma aggiunge un layer di controllo significativo senza costi aggiuntivi. Ricorda: un cliente che cambia manualmente il proprio IP non potrà comunicare con il router.

ARPARP spoofingreply-onlyARP staticosicurezza reteIP hijackingMAC bindingRouterOSip arpWISP security

Continua con

Indirizzi IP e subnetting pratico su RouterOS DHCP Server su RouterOS: pool, reti e lease statici DHCP Client su RouterOS: ottenere l'IP dalla WAN DHCP Relay: server DHCP centralizzato per più subnet

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS