Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Dhcp, ip по мак адресу

    Scheduled Pinned Locked Moved Russian
    14 Posts 4 Posters 7.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      DasTieRR
      last edited by

      @Finder:

      @DasTieRR:

      Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)

      я так понял, pfsense и не должен что ли закрывать доступ не прописанным ip?
      тогда к чему нужны галочки  Deny unknown clients, Enable Static ARP entries(  Note: Only the machines listed below will be able to communicate with the firewall on this NIC.) ???

      Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.

      1 Reply Last reply Reply Quote 0
      • F
        Finder
        last edited by

        @DasTieRR:

        Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.

        можешь на словах как именно это сделать или скрин скинуть?

        1 Reply Last reply Reply Quote 0
        • D
          DasTieRR
          last edited by

          @Finder:

          @DasTieRR:

          Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.

          можешь на словах как именно это сделать или скрин скинуть?

          1. Раздел firewall-alias
          название алиаса - как удобно
          забиваешь список IP, которым разрешён доступ
          2. в rules - soures выбираешь "single host или alias" и пишешь название своего alias доверенных IP

          1 Reply Last reply Reply Quote 0
          • E
            Eugene
            last edited by

            @Finder:

            @DasTieRR:

            Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)

            я так понял, pfsense и не должен что ли закрывать доступ не прописанным ip?
            тогда к чему нужны галочки  Deny unknown clients, Enable Static ARP entries(  Note: Only the machines listed below will be able to communicate with the firewall on this NIC.) ???

            Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.

            http://ru.doc.pfsense.org

            1 Reply Last reply Reply Quote 0
            • F
              Finder
              last edited by

              @Evgeny:

              Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.

              И как же быть? На локальном компьютере в свойствах подключения вручную назначил ip, шлюз.  Компьютер без проблем ходит в интернет, локальную сеть, хотя ip нигде не прописан на pfsense и выставлены галочки  Deny unknown clients, Enable Static ARP entries. Есть предложения чтобы любой комп, имеющий MAC не из списка, никогда не смог быть в сети?

              1 Reply Last reply Reply Quote 0
              • E
                Eugene
                last edited by

                @Finder:

                @Evgeny:

                Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.

                И как же быть? На локальном компьютере в свойствах подключения вручную назначил ip, шлюз. Компьютер без проблем ходит в интернет, локальную сеть. Есть предложения чтобы любой комп, имеющий MAC не из списка, никогда не смог быть в сети?

                Как уже предложили, можно фильтровать по IP - разрешать только определённому листу. Однако, это не гарантирует полной защиты, так как если комп какого-либо пользователя (разрешённого) будет выключен, то его IP может (статически) взять любой другой компьютер.
                Если такая сильная обеспокоенность по поводу MAC-ов, то нужен свич, который может фильтровать по MAC, это не функция файрволла.

                http://ru.doc.pfsense.org

                1 Reply Last reply Reply Quote 0
                • B
                  bortmex
                  last edited by

                  Finder
                  Включите VPN/L2TP сервер в pfsense. Тогда нужные клиенты будут ходить по паролю и с шифрованием, а ненужные не смогут. Авторизация по макам и IP бестолкова по определению

                  1 Reply Last reply Reply Quote 0
                  • F
                    Finder
                    last edited by

                    @Evgeny:

                    Как уже предложили, можно фильтровать по IP - разрешать только определённому листу. Однако, это не гарантирует полной защиты, так как если комп какого-либо пользователя (разрешённого) будет выключен, то его IP может (статически) взять любой другой компьютер.
                    Если такая сильная обеспокоенность по поводу MAC-ов, то нужен свич, который может фильтровать по MAC, это не функция файрволла.

                    я бы хотел еще раз уточнить:
                    Это нормально для pfsense, что если  Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?

                    Спасибо за ответы!

                    1 Reply Last reply Reply Quote 0
                    • E
                      Eugene
                      last edited by

                      @Finder:

                      Это нормально для pfsense, что если  Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?

                      Абсолютно.

                      http://ru.doc.pfsense.org

                      1 Reply Last reply Reply Quote 0
                      • B
                        bortmex
                        last edited by

                        @Finder:

                        Это нормально для pfsense, что если  Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?

                        как уже говорилось, эти опции не запрещают выставление адреса вручную. Да и как вообще вы себе представляете такой запрет? И маки подменить - дело двух секунд, толку по макам фильтровать?

                        1 Reply Last reply Reply Quote 0
                        • F
                          Finder
                          last edited by

                          @bortmex:

                          как уже говорилось, эти опции не запрещают выставление адреса вручную. Да и как вообще вы себе представляете такой запрет? И маки подменить - дело двух секунд, толку по макам фильтровать?

                          Думал pfsense получает mac компа и смотрит его в своем списке mac-адресов. Если такой мак есть,и текущий ip компа соотвествует ip из таблицы, то комп имеет доступ к сети.

                          New in pfSense 2.0 is the L2TP (Layer 2 Tunneling Protocol) VPN type, which will allow L2TP VPN clients to connect remotely. It can be found under VPN > L2TP. Так понял надо обновиться до версии 2.0

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.