Mac Adresinden İnterneti Engelleme
-
Merhaba Mac adresinden bazı cihazları internete çıkışını engellemek istiyorum. Bunu nasıl yaparım yardımcı olabilirmisiniz?
-
@EnnetBT Pfsense içerisinde böyle bir özellik direkt olarak maalesef yok. Ancak imkansız değil. Birkaç "basit" veya daha üstü isterseniz "radikal" işlem yaptıktan sonra yapabilirsiniz.
Öncelikle basit olandan bahsedeyim. Cihazları mac-ip adresleriyle dhcp havuzunda toplarsınız. Buna static arp deniyor. Sonra da rules altından istediğiniz iplerin erişimini bloklarsınız. Bunun şöyle bir basitliği var. Kullanıcı kendi makinasına manuel ip girdiğinde yahut mac adresi değiştirdiğinde, eğer yeni ip bloklu değilse, gayet rahat internete erişir.
Radikal olanıysa, dhcp havuzunda tanımlı olanlar haricinde, kimseyi sisteme kabul etmemenizdir. Ki bu durumda kullanıcı ister ip değiştirsin ister mac değiştirsin, ağa bağlanamaz. Çünkü bu yapıda sistem, havuzdaki mac-ip karşılaştırmasına bakar. Birinden biri değişsin, bağlantıyı keser. Ancak bunun da radikal yönü, dhcp havuzu haricindeki hiçkimse, o havuza manuel dahil edilmediği sürece sisteme ve nete bağlanamaz.
Bu arada, mac adresi değiştirmenin ne denli kolay olduğunu bildiğinizi varsayıyorum.
-
@plusbil bilgi için teşekkürler ip adresini sabitledim rules altından lan burada block yaptım, networkü seçtim ve ip adresini yazdım bu şekilde mi olacak yoksa bana rules tarafında yapılacak ayarları görüntülü atabilme şansınız var mı? Eğer varsa foto atabilirseniz rules tarafını nasıl yapacağımı çok sevinirim.
-
@EnnetBT dhcp server kısmında Enable Static ARP entries seçeneğini işaretlerseniz sadece statik eşleşmesi olan cihazlar pfsense üzerinden haberleşeceği için internete erişecektir. rules tablosunda bir şey yapmanıza gerek yoktur. (daha önceden herhangi bir kısıtlayıcı kural yazmadığınızı varsayıyorum.
not: dhcp serveri durdurmanız gerekiyor
-
@greenlight rules altında lan üzerinde bir kural oluşturdum. ekte mevcut.!
https://hizliresim.com/7rsm685
-
@EnnetBT şu anda dhcp serveri devredışı bırakıp, statik arp aktifleştirip, alttaki tablodan da ip adreslerini sabitlerseniz eşleştirmesi olan cihazlar pfsense ile haberleşebileceği için internete erişecektir. ip adresi sabitlenmemiş cihazlar firewall ile haberleşemediği için internete ve ağa erişemeyeceklerdir.
yalnız akıllı telefonlar wifi ağları için mac adreslerini değiştiriyorlar. bu yüzden mac değiştirme özelliği telefonlardan devredışı bırakmanız gerekebilir.
-
@greenlight ben sadece bir tane bilgisayarın internetini kısıtlamak istiyorum.
-
captive portal kullanıyor musunuz?
-
@EnnetBT bilgisayarın mac adresini sabit ipyle eşleştirin bir aliase oluşturun ve buraya ip adresini ekleyin, rules tablosuna gelip o grup için block kuralı oluşturun. böylece gruba eklediğiniz ip adreslerinin bağlantısı blocklanır.
-
@EnnetBT said in Mac Adresinden İnterneti Engelleme:
@greenlight rules altında lan üzerinde bir kural oluşturdum. ekte mevcut.!
https://hizliresim.com/7rsm685
@EnnetBT Doğru yapmışsınız. Yazdığınız kuralı sürükle-bırak ile üste alın sadece. Çünkü sıralamaya göre kural uygulanır. Üstte tüm networkün erişim izni var. Bu şekilde kalırsa sevval'i engellemez. Kurallar yukarıdan aşağıya doğru işler.
Bir de "network" yerine "address or alias" veya "single host or alias" seçerseniz, /24'e gerek kalmaz.
Ip adresini de source bölümüne yazmanız yeterli, destination'a gerek yok.
