Блокировка клиентов по MAC адресам
-
СКажите пожалуйста возможно ли блокировать клиентов по MAC адресам без использования DHCP?….
Можно. Services -> Captive Portal -> Pass-through MAC
-
Нельзя: http://forum.pfsense.org/index.php/topic,6052.0.html
-
Одни говорят можно другие говорят что нельзя….. ну а в крайнем случае можно сделать чтобы DHCP сервер зная MAC адрес присваивал определённые настройки ? (адрес основного шлюза и ДНС сервер)
-
Тогда было нельзя. Может уже и починили, но сомневаюсь.
-
Одни говорят можно другие говорят что нельзя….. ну а в крайнем случае можно сделать чтобы DHCP сервер зная MAC адрес присваивал определённые настройки ? (адрес основного шлюза и ДНС сервер)
Можно выдавать IP только заранее определённым MAC.
-
Можно выдавать IP только заранее определённым MAC.
а
злобные засранзаранее не определенные пропишут его сами -
Ну если ума хватит, то да.
-
Ну если ума хватит, то да.
человек по своей сути существо пытливое, если ему что-то нужно - он спросит друга/соседа/знакого админа/местного хакера (нужное подчеркнуть)
-
Человеки разные бывают, согласен… но давайте послушаем, что скажет начальник транспортного цеха!
-
а
злобные засранзаранее не определенные пропишут его самитак это смотря от чего их топикстартер блокировать собрался.. если от интерента, но на pfsense файрволом все рубится, хоть запрописываются там пускай..
-
так это смотря от чего их топикстартер блокировать собрался.. если от интерента, но на pfsense файрволом все рубится, хоть запрописываются там пускай..
покажи мне правило в фаерволе pfsense для блокировка mac адреса
-
покажи мне правило в фаерволе pfsense для блокировка mac адреса
Я не о том, я о том, что если на DHCP сервере сделать резервирование IP по MAC, то потом на файрволе можно давать доступ в интернет только этим зарезервированным IP. Те, кто пропишут себе IP руками, либо получат конфликт адресов, либо будут сидеть без интернета, что, как мне кажется, и нужно автору топика.
-
Я не о том, я о том, что если на DHCP сервере сделать резервирование IP по MAC, то потом на файрволе можно давать доступ в интернет только этим зарезервированным IP. Те, кто пропишут себе IP руками, либо получат конфликт адресов, либо будут сидеть без интернета, что, как мне кажется, и нужно автору топика.
как сложно подменить мак =) а если у меня линюх, то мне винда отдаст свой айпишнег =)
-
как сложно подменить мак =) а если у меня линюх, то мне винда отдаст свой айпишнег =)
)) верю, что для тебя - не сложно, но я таких деятелей пока не встречал, хотя тех, кто не верит в DHCP и пытается прописать IP руками, у себя в сети пару раз видел))
по существу: подменить MAC мало, надо еще и знать какой MAC и соответствующий ему IP допущен в интернет. -
)) верю, что для тебя - не сложно, но я таких деятелей пока не встречал, хотя тех, кто не верит в DHCP и пытается прописать IP руками, у себя в сети пару раз видел))
по существу: подменить MAC мало, надо еще и знать какой MAC и соответствующий ему IP допущен в интернет.arp -a
И перебираем все айпишки :)
по части смены мака http://www.google.com/search?client=opera&rls=ru&q=%D1%81%D0%BC%D0%B5%D0%BD%D0%B0+mac+%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0+windows&sourceid=opera&ie=utf-8&oe=utf-8
ты думаешь самый глупый не в силах задать вопрос гуглу? -
ты думаешь самый глупый не в силах задать вопрос гуглу?
как показывает практика - не может, ибо правильный вопрос - это уже половина ответа)), а если он не знает что такое MAC, то и вопроса никакого никогда не задаст.. о чем мы вообще? у тебя на работе каждый второй хакер? у меня - нет, поэтому такие меры считаю достаточными.
-
ты думаешь самый глупый не в силах задать вопрос гуглу?
как показывает практика - не может, ибо правильный вопрос - это уже половина ответа)), а если он не знает что такое MAC, то и вопроса никакого никогда не задаст.. о чем мы вообще? у тебя на работе каждый второй хакер? у меня - нет, поэтому такие меры считаю достаточными.
Абстрактный вопрос: а что - реально ещё где-то ограничивают доступ к интернет на работе?
-
ты думаешь самый глупый не в силах задать вопрос гуглу?
как показывает практика - не может, ибо правильный вопрос - это уже половина ответа)), а если он не знает что такое MAC, то и вопроса никакого никогда не задаст.. о чем мы вообще? у тебя на работе каждый второй хакер? у меня - нет, поэтому такие меры считаю достаточными.
Абстрактный вопрос: а что - реально ещё где-то ограничивают доступ к интернет на работе?
Да
-
В целом я не преследую каких либо супер защит блокировка по MAC вполне подойдёт для среднестатистического пользователя. Я хочу чтобы система работала следующим образом:
1.На DHCP сервере прописываем диапазон например 192.168.1.100-192.168.1.150. Таким образом компьютерам где стоит автоматическая настройка будут автоматом присваиваться любой адрес из этого диапазона. Это сделано для того чтобы если кто то пришёл с ноутом смог вылезти в интернет на определённой скорости.
2.Прописываются адреса в связке IP+MAC c галкой Enable Static ARP entries. Это сделано для того чтобы все юзеры у которых стационарный комп были упорядоченны и я знал где кто находится. При смене IP вручную отличный от того который прописан в настройках DHCP сервера он будет блокироваться и в интернет не влезит. Но что если получится так что кто то сделает себе например адрес IP вручную….. таким образом компьютер который забит в DHCP сервере не сможет выдать адрес тому компьютеру который его должен получить. Придётся идти по компам и искать кто изменил IP.
3.Чтобы не происходило такого казуса как в пункте 2 хочется настроить VirtualIP таким образом чтобы при офлайне компьютера например с адресом 192.168.1.20 его адрес не смог забить другой компьютер то есть если я выставлю в своём компе 192.168.1.20 то на сервере должна происходить сверка MAC адресов и мне выдать сообщение что такой компьютер уже в сети есть. Но при включении того компьютера которому этот адрес предназначался система pfsense должна сверить опять же MAC адреса выключить VirtualIP и пропустить данный компьютер.
Реально ли это всё сделать на PFsense? -
Абстрактный вопрос: а что - реально ещё где-то ограничивают доступ к интернет на работе?
у меня сейчас на работе канал 256кбит/c на 30 машин, за 6500 рублей в месяц, конечно приходится ограничивать (и это у меня еще хороший канал)
В целом я не преследую каких либо супер защит блокировка по MAC вполне подойдёт для среднестатистического пользователя. Я хочу чтобы система работала следующим образом:
1.На DHCP сервере прописываем диапазон например 192.168.1.100-192.168.1.150. Таким образом компьютерам где стоит автоматическая настройка будут автоматом присваиваться любой адрес из этого диапазона. Это сделано для того чтобы если кто то пришёл с ноутом смог вылезти в интернет на определённой скорости.да
@MIHMIH:2.Прописываются адреса в связке IP+MAC c галкой Enable Static ARP entries. Это сделано для того чтобы все юзеры у которых стационарный комп были упорядоченны и я знал где кто находится. При смене IP вручную отличный от того который прописан в настройках DHCP сервера он будет блокироваться и в интернет не влезит. Но что если получится так что кто то сделает себе например адрес IP вручную….. таким образом компьютер который забит в DHCP сервере не сможет выдать адрес тому компьютеру который его должен получить. Придётся идти по компам и искать кто изменил IP.
да
@MIHMIH:3.Чтобы не происходило такого казуса как в пункте 2 хочется настроить VirtualIP таким образом чтобы при офлайне компьютера например с адресом 192.168.1.20 его адрес не смог забить другой компьютер то есть если я выставлю в своём компе 192.168.1.20 то на сервере должна происходить сверка MAC адресов и мне выдать сообщение что такой компьютер уже в сети есть. Но при включении того компьютера которому этот адрес предназначался система pfsense должна сверить опять же MAC адреса выключить VirtualIP и пропустить данный компьютер.
Реально ли это всё сделать на PFsense?это выполняется при условии 2 (при статика арпе его не пустит) и при условии отсутствия смены макадреса