Блокировка клиентов по MAC адресам

zar0ku1

@rubic:

так это смотря от чего их топикстартер блокировать собрался.. если от интерента, но на pfsense файрволом все рубится, хоть запрописываются там пускай..

покажи мне правило в фаерволе pfsense для блокировка mac адреса

rubic

@zar0ku1:

покажи мне правило в фаерволе pfsense для блокировка mac адреса

Я не о том, я о том, что если на DHCP сервере сделать резервирование IP по MAC, то потом на файрволе можно давать доступ в интернет только этим зарезервированным IP. Те, кто пропишут себе IP руками, либо получат конфликт адресов, либо будут сидеть без интернета, что, как мне кажется, и нужно автору топика.

zar0ku1

@rubic:

Я не о том, я о том, что если на DHCP сервере сделать резервирование IP по MAC, то потом на файрволе можно давать доступ в интернет только этим зарезервированным IP. Те, кто пропишут себе IP руками, либо получат конфликт адресов, либо будут сидеть без интернета, что, как мне кажется, и нужно автору топика.

как сложно подменить мак =) а если у меня линюх, то мне винда отдаст свой айпишнег =)

rubic

@zar0ku1:

как сложно подменить мак =) а если у меня линюх, то мне винда отдаст свой айпишнег =)

)) верю, что для тебя - не сложно, но я таких деятелей пока не встречал, хотя тех, кто не верит в DHCP и пытается прописать IP руками, у себя в сети пару раз видел))
по существу: подменить MAC мало, надо еще и знать какой MAC и соответствующий ему IP допущен в интернет.

zar0ku1

@rubic:

)) верю, что для тебя - не сложно, но я таких деятелей пока не встречал, хотя тех, кто не верит в DHCP и пытается прописать IP руками, у себя в сети пару раз видел))
по существу: подменить MAC мало, надо еще и знать какой MAC и соответствующий ему IP допущен в интернет.

arp -a

И перебираем все айпишки :)

по части смены мака http://www.google.com/search?client=opera&rls=ru&q=%D1%81%D0%BC%D0%B5%D0%BD%D0%B0+mac+%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0+windows&sourceid=opera&ie=utf-8&oe=utf-8
ты думаешь самый глупый не в силах задать вопрос гуглу?

rubic

@zar0ku1:

ты думаешь самый глупый не в силах задать вопрос гуглу?

как показывает практика - не может, ибо правильный вопрос - это уже половина ответа)), а если он не знает что такое MAC, то и вопроса никакого никогда не задаст.. о чем мы вообще? у тебя на работе каждый второй хакер? у меня - нет, поэтому такие меры считаю достаточными.

Eugene

@rubic:

@zar0ku1:

ты думаешь самый глупый не в силах задать вопрос гуглу?

как показывает практика - не может, ибо правильный вопрос - это уже половина ответа)), а если он не знает что такое MAC, то и вопроса никакого никогда не задаст.. о чем мы вообще? у тебя на работе каждый второй хакер? у меня - нет, поэтому такие меры считаю достаточными.

Абстрактный вопрос: а что - реально ещё где-то ограничивают доступ к интернет на работе?

dvserg

@Eugene:

@rubic:

@zar0ku1:

ты думаешь самый глупый не в силах задать вопрос гуглу?

как показывает практика - не может, ибо правильный вопрос - это уже половина ответа)), а если он не знает что такое MAC, то и вопроса никакого никогда не задаст.. о чем мы вообще? у тебя на работе каждый второй хакер? у меня - нет, поэтому такие меры считаю достаточными.

Абстрактный вопрос: а что - реально ещё где-то ограничивают доступ к интернет на работе?

Да

MIHMIH

В целом я не преследую каких либо супер защит блокировка по MAC вполне подойдёт для среднестатистического пользователя. Я хочу чтобы система работала следующим образом:
1.На DHCP сервере прописываем диапазон например 192.168.1.100-192.168.1.150. Таким образом компьютерам где стоит автоматическая настройка будут автоматом присваиваться любой адрес из этого диапазона. Это сделано для того чтобы если кто то пришёл с ноутом смог вылезти в интернет на определённой скорости.
2.Прописываются адреса в связке IP+MAC c галкой Enable Static ARP entries. Это сделано для того чтобы все юзеры у которых стационарный комп были упорядоченны и я знал где кто находится. При смене IP вручную отличный от того который прописан в настройках DHCP сервера он будет блокироваться и в интернет не влезит. Но что если получится так что кто то сделает себе например адрес IP вручную….. таким образом компьютер который забит в DHCP сервере не сможет выдать адрес тому компьютеру который его должен получить. Придётся идти по компам и искать кто изменил IP.
3.Чтобы не происходило такого казуса как в пункте 2 хочется настроить VirtualIP таким образом чтобы при офлайне компьютера например с адресом 192.168.1.20 его адрес не смог забить другой компьютер то есть если я выставлю в своём компе 192.168.1.20 то на сервере должна происходить сверка MAC адресов и мне выдать сообщение что такой компьютер уже в сети есть. Но при включении того компьютера которому этот адрес предназначался система pfsense должна сверить опять же MAC адреса выключить VirtualIP и пропустить данный компьютер.
Реально ли это всё сделать на PFsense?

zar0ku1

@Eugene:

Абстрактный вопрос: а что - реально ещё где-то ограничивают доступ к интернет на работе?

у меня сейчас на работе канал 256кбит/c на 30 машин, за 6500 рублей в месяц, конечно приходится ограничивать (и это у меня еще хороший канал)

@MIHMIH:

В целом я не преследую каких либо супер защит блокировка по MAC вполне подойдёт для среднестатистического пользователя. Я хочу чтобы система работала следующим образом:
1.На DHCP сервере прописываем диапазон например 192.168.1.100-192.168.1.150. Таким образом компьютерам где стоит автоматическая настройка будут автоматом присваиваться любой адрес из этого диапазона. Это сделано для того чтобы если кто то пришёл с ноутом смог вылезти в интернет на определённой скорости.

да
@MIHMIH:

2.Прописываются адреса в связке IP+MAC c галкой Enable Static ARP entries. Это сделано для того чтобы все юзеры у которых стационарный комп были упорядоченны и я знал где кто находится. При смене IP вручную отличный от того который прописан в настройках DHCP сервера он будет блокироваться и в интернет не влезит. Но что если получится так что кто то сделает себе например адрес IP вручную….. таким образом компьютер который забит в DHCP сервере не сможет выдать адрес тому компьютеру который его должен получить. Придётся идти по компам и искать кто изменил IP.

да
@MIHMIH:

3.Чтобы не происходило такого казуса как в пункте 2 хочется настроить VirtualIP таким образом чтобы при офлайне компьютера например с адресом 192.168.1.20 его адрес не смог забить другой компьютер то есть если я выставлю в своём компе 192.168.1.20 то на сервере должна происходить сверка MAC адресов и мне выдать сообщение что такой компьютер уже в сети есть. Но при включении того компьютера которому этот адрес предназначался система pfsense должна сверить опять же MAC адреса выключить VirtualIP и пропустить данный компьютер.
Реально ли это всё сделать на PFsense?

это выполняется при условии 2 (при статика арпе его не пустит) и при условии отсутствия смены макадреса

MIHMIH

это выполняется при условии 2 (при статика арпе его не пустит) и при условии отсутствия смены макадреса

Практика показывает что сервак не пропускает этот айпи НО!!! Тот юзер которому принадлежит этот айпи на самом деле тоже не может войти (высвечивается конфликт IP адресов) поэтому тут единственный способ резервировать как то айпи в сети сервером так чтобы его не заняли

zar0ku1

@MIHMIH:

Практика показывает что сервак не пропускает этот айпи НО!!! Тот юзер которому принадлежит этот айпи на самом деле тоже не может войти (высвечивается конфликт IP адресов) поэтому тут единственный способ резервировать как то айпи в сети сервером так чтобы его не заняли

проблема в операционной системе, а не в сервере, так ведет себя windows

MIHMIH

проблема в операционной системе, а не в сервере, так ведет себя windows

То есть если я подключался бы через Линюх то он бы спокойно подрубился?

rubic

Для FreeBSD есть такой http://ipguard.deep.perm.ru/ - это, судя по описанию, то, что тебе нужно.. У меня на одной из рабочих машин постоянно крутится http://blog.kmint21.com/2008/03/12/arp-monitor/ он присвоение чужого IP хоть и не предотвращает, но позволяет отследить, кто балуется..

zar0ku1

@MIHMIH:

проблема в операционной системе, а не в сервере, так ведет себя windows

То есть если я подключался бы через Линюх то он бы спокойно подрубился?

линюх отберет айпи у винды даже не матюкнувшись, а фрюха отберет у всех

Eugene

@zar0ku1:

@MIHMIH:

проблема в операционной системе, а не в сервере, так ведет себя windows

То есть если я подключался бы через Линюх то он бы спокойно подрубился?

линюх отберет айпи у винды даже не матюкнувшись, а фрюха отберет у всех

Механиз известен? так.. для общего образования…

zar0ku1

@Eugene:

Механиз известен? так.. для общего образования…

проверь ;) проверялось опытным путем
windows xp pro, home (c серверными не пробовал, но говорят 2003 тоже)
linux ubuntu

как объясняется - не знаю, вероятно особенностью TCP протокола и уникальной генерацией (реализацией) последовательности пакетов разными ОС