Блокировка клиентов по MAC адресам

mariohs

@MIHMIH:

СКажите пожалуйста возможно ли блокировать клиентов по MAC адресам без использования DHCP?….

Можно. Services -> Captive Portal -> Pass-through MAC

mole

Нельзя: http://forum.pfsense.org/index.php/topic,6052.0.html

MIHMIH

Одни говорят можно другие говорят что нельзя….. ну а в крайнем случае можно сделать чтобы DHCP сервер зная MAC адрес присваивал определённые настройки ? (адрес основного шлюза и ДНС сервер)

mole

Тогда было нельзя. Может уже и починили, но сомневаюсь.

Eugene

@MIHMIH:

Одни говорят можно другие говорят что нельзя….. ну а в крайнем случае можно сделать чтобы DHCP сервер зная MAC адрес присваивал определённые настройки ? (адрес основного шлюза и ДНС сервер)

Можно выдавать IP только заранее определённым MAC.

zar0ku1

@Eugene:

Можно выдавать IP только заранее определённым MAC.

а злобные засранзаранее не определенные пропишут его сами

Eugene

Ну если ума хватит, то да.

zar0ku1

@Eugene:

Ну если ума хватит, то да.

человек по своей сути существо пытливое, если ему что-то нужно - он спросит друга/соседа/знакого админа/местного хакера (нужное подчеркнуть)

Eugene

Человеки разные бывают, согласен… но давайте послушаем, что скажет начальник транспортного цеха!

rubic

@zar0ku1:

а злобные засранзаранее не определенные пропишут его сами

так это смотря от чего их топикстартер блокировать собрался.. если от интерента, но на pfsense файрволом все рубится, хоть запрописываются там пускай..

zar0ku1

@rubic:

так это смотря от чего их топикстартер блокировать собрался.. если от интерента, но на pfsense файрволом все рубится, хоть запрописываются там пускай..

покажи мне правило в фаерволе pfsense для блокировка mac адреса

rubic

@zar0ku1:

покажи мне правило в фаерволе pfsense для блокировка mac адреса

Я не о том, я о том, что если на DHCP сервере сделать резервирование IP по MAC, то потом на файрволе можно давать доступ в интернет только этим зарезервированным IP. Те, кто пропишут себе IP руками, либо получат конфликт адресов, либо будут сидеть без интернета, что, как мне кажется, и нужно автору топика.

zar0ku1

@rubic:

Я не о том, я о том, что если на DHCP сервере сделать резервирование IP по MAC, то потом на файрволе можно давать доступ в интернет только этим зарезервированным IP. Те, кто пропишут себе IP руками, либо получат конфликт адресов, либо будут сидеть без интернета, что, как мне кажется, и нужно автору топика.

как сложно подменить мак =) а если у меня линюх, то мне винда отдаст свой айпишнег =)

rubic

@zar0ku1:

как сложно подменить мак =) а если у меня линюх, то мне винда отдаст свой айпишнег =)

)) верю, что для тебя - не сложно, но я таких деятелей пока не встречал, хотя тех, кто не верит в DHCP и пытается прописать IP руками, у себя в сети пару раз видел))
по существу: подменить MAC мало, надо еще и знать какой MAC и соответствующий ему IP допущен в интернет.

zar0ku1

@rubic:

)) верю, что для тебя - не сложно, но я таких деятелей пока не встречал, хотя тех, кто не верит в DHCP и пытается прописать IP руками, у себя в сети пару раз видел))
по существу: подменить MAC мало, надо еще и знать какой MAC и соответствующий ему IP допущен в интернет.

arp -a

И перебираем все айпишки :)

по части смены мака http://www.google.com/search?client=opera&rls=ru&q=%D1%81%D0%BC%D0%B5%D0%BD%D0%B0+mac+%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0+windows&sourceid=opera&ie=utf-8&oe=utf-8
ты думаешь самый глупый не в силах задать вопрос гуглу?

rubic

@zar0ku1:

ты думаешь самый глупый не в силах задать вопрос гуглу?

как показывает практика - не может, ибо правильный вопрос - это уже половина ответа)), а если он не знает что такое MAC, то и вопроса никакого никогда не задаст.. о чем мы вообще? у тебя на работе каждый второй хакер? у меня - нет, поэтому такие меры считаю достаточными.

Eugene

@rubic:

@zar0ku1:

ты думаешь самый глупый не в силах задать вопрос гуглу?

как показывает практика - не может, ибо правильный вопрос - это уже половина ответа)), а если он не знает что такое MAC, то и вопроса никакого никогда не задаст.. о чем мы вообще? у тебя на работе каждый второй хакер? у меня - нет, поэтому такие меры считаю достаточными.

Абстрактный вопрос: а что - реально ещё где-то ограничивают доступ к интернет на работе?

dvserg

@Eugene:

@rubic:

@zar0ku1:

ты думаешь самый глупый не в силах задать вопрос гуглу?

как показывает практика - не может, ибо правильный вопрос - это уже половина ответа)), а если он не знает что такое MAC, то и вопроса никакого никогда не задаст.. о чем мы вообще? у тебя на работе каждый второй хакер? у меня - нет, поэтому такие меры считаю достаточными.

Абстрактный вопрос: а что - реально ещё где-то ограничивают доступ к интернет на работе?

Да

MIHMIH

В целом я не преследую каких либо супер защит блокировка по MAC вполне подойдёт для среднестатистического пользователя. Я хочу чтобы система работала следующим образом:
1.На DHCP сервере прописываем диапазон например 192.168.1.100-192.168.1.150. Таким образом компьютерам где стоит автоматическая настройка будут автоматом присваиваться любой адрес из этого диапазона. Это сделано для того чтобы если кто то пришёл с ноутом смог вылезти в интернет на определённой скорости.
2.Прописываются адреса в связке IP+MAC c галкой Enable Static ARP entries. Это сделано для того чтобы все юзеры у которых стационарный комп были упорядоченны и я знал где кто находится. При смене IP вручную отличный от того который прописан в настройках DHCP сервера он будет блокироваться и в интернет не влезит. Но что если получится так что кто то сделает себе например адрес IP вручную….. таким образом компьютер который забит в DHCP сервере не сможет выдать адрес тому компьютеру который его должен получить. Придётся идти по компам и искать кто изменил IP.
3.Чтобы не происходило такого казуса как в пункте 2 хочется настроить VirtualIP таким образом чтобы при офлайне компьютера например с адресом 192.168.1.20 его адрес не смог забить другой компьютер то есть если я выставлю в своём компе 192.168.1.20 то на сервере должна происходить сверка MAC адресов и мне выдать сообщение что такой компьютер уже в сети есть. Но при включении того компьютера которому этот адрес предназначался система pfsense должна сверить опять же MAC адреса выключить VirtualIP и пропустить данный компьютер.
Реально ли это всё сделать на PFsense?

zar0ku1

@Eugene:

Абстрактный вопрос: а что - реально ещё где-то ограничивают доступ к интернет на работе?

у меня сейчас на работе канал 256кбит/c на 30 машин, за 6500 рублей в месяц, конечно приходится ограничивать (и это у меня еще хороший канал)

@MIHMIH:

В целом я не преследую каких либо супер защит блокировка по MAC вполне подойдёт для среднестатистического пользователя. Я хочу чтобы система работала следующим образом:
1.На DHCP сервере прописываем диапазон например 192.168.1.100-192.168.1.150. Таким образом компьютерам где стоит автоматическая настройка будут автоматом присваиваться любой адрес из этого диапазона. Это сделано для того чтобы если кто то пришёл с ноутом смог вылезти в интернет на определённой скорости.

да
@MIHMIH:

2.Прописываются адреса в связке IP+MAC c галкой Enable Static ARP entries. Это сделано для того чтобы все юзеры у которых стационарный комп были упорядоченны и я знал где кто находится. При смене IP вручную отличный от того который прописан в настройках DHCP сервера он будет блокироваться и в интернет не влезит. Но что если получится так что кто то сделает себе например адрес IP вручную….. таким образом компьютер который забит в DHCP сервере не сможет выдать адрес тому компьютеру который его должен получить. Придётся идти по компам и искать кто изменил IP.

да
@MIHMIH:

3.Чтобы не происходило такого казуса как в пункте 2 хочется настроить VirtualIP таким образом чтобы при офлайне компьютера например с адресом 192.168.1.20 его адрес не смог забить другой компьютер то есть если я выставлю в своём компе 192.168.1.20 то на сервере должна происходить сверка MAC адресов и мне выдать сообщение что такой компьютер уже в сети есть. Но при включении того компьютера которому этот адрес предназначался система pfsense должна сверить опять же MAC адреса выключить VirtualIP и пропустить данный компьютер.
Реально ли это всё сделать на PFsense?

это выполняется при условии 2 (при статика арпе его не пустит) и при условии отсутствия смены макадреса