DHCP MAC Filtreleme ayarları
-
Merhaba,
İp ile kısıtlama yapıyorum ancak ağdaki biri full yetkili olarak tanımladığım bir ipyi kullanınca bütün kısıtlamalardan rahatlıkla sıyrılıyor.Bunun önüne geçmek için MAC kullanmam gerekiyor sanırım.Bu konuda yardımınıza ihtiyacım var :)DHCP Serverde tanımladığım macler dışındaki hiç kimsenin nete girmesini istemiyorum.bir kaç mac tanımlamama rağmen nete girilebilyor.
Enable DHCP server on LAN interface ve Deny unknown clients seçili ve range ip bölümünde otomatik olarak atanmasını istediğim ip aralığını yazdım. Bu pcler dışındakileri nasıl engellerim? Teşekkürler.. -
bu konuyla ilgili benimde sormak istediğim şeyler vardı…
squid üzerine kurulmuş ve özel yazılmış bir web arayüzü vardı... bu arayüzde misafir olarak ben laptopumda bağlandım ve ip aldım ama nete çıkışım ve ağlardaki paylaşımlarda dolaşmam kısıtlıydı... yetki verdikten sonra internet ve sharinglere girebilmeye başladım... bu squidin özelliğimi yoksa pfsense üzerinde gelen bir şey mi?
-
Şimdi Bu konuda bende pek bi şey bilmiyordum fakat aldığım destek sonucunda size bilgi verebilirim ilk olarak eğer sisteminizde kullandığınız DHCP var ise pfsense İle Çakışıyor ve Pf Sense deki çalışmıyor onun dışında şöyle bir Çözüm Sunulabilir Eğer Sisteminizde Bir Domain Yapısı mevcut ise DC den Group Policy uguylarsınız ve kullanıcaılar İp Değiştiremez ben çözümü bu şekilde buldum işe yarıyor.
-
yada lan rules ekle ve aşağıdaki portları engelle… işe yarayabilir...
67/UDP BOOTP
68/UDP BOOTP
546/TCP,UDP DHCPv6 client
547/TCP,UDP DHCPv6 server
647/TCP DHCP Failover Protocol -
sanırım mac adreslerini girmeyi unutmuşsun (hem ethernet kartının ve kullanılıyorsa kablosuz) ve tabi ortamda başka bir dhcp olmaması gerekiyor
-
aristor kardeş yanlış hatırlamıyorsam bununla ilgili forumda konu mevcut biraz araştırırsan bulacaksındır
-
aristor kardeş yanlış hatırlamıyorsam bununla ilgili forumda konu mevcut biraz araştırırsan bulacaksındır
soruyu soran ben değilim ama verdiğim cevapta bir hata mı var acaba?
-
Arkadaşlar cevaplarınız için teşekkürler…
Bütün pclerin maclerini tanıttıktan sonra hiç bir pc ye otomatik ip dağıtılmasını istemiyorum. Ama Range yi boş geçemiyorum? Bu durumda biri otomatik ip al derse o aralıktan birini almayacakmı?Birde ben kendi mac'ime bir ip tanımladım diyelim.Otomaik ip al dediğimde tanımladığım ip yi bana veriyor ve sorunsuz nete girebilyorum.Fakat kendim manuel ip verdiğimde yinede nete girebiliyorum.Ve o ip nin kısıtlamalarıyla karşılaşıyorum?Anlamadığım nokta mademki ip değişince yine çalışıyor mac ' in bize faydası ne?
İyi çalışmalar..
-
aristor kardeş ben sadece senin sormuş olduğun ("squid üzerine kurulmuş ve özel yazılmış bir web arayüzü vardı… bu arayüzde misafir olarak ben laptopumda bağlandım......") bu soruna karşılık söyledim sorma şeklinde veya biçiminde bir problem yok :)
-
GuMgUmOk kardeş Services: DHCP server bölümünde Deny unknown clients aktif edip ve kullanıcıların mac adreslerini ve ip adreslerini yazdığında sorunun çözülecektir
-
Tacim arkadaşın söylediklerine ek olarak:
ancak bu durumda da, bir kullanıcı kendisi elle bir IP yazarak yine istediği ip'yi alabilir diye tahmin ediyorum.
Bunu group policy ile engelleme imkanınız yok ise
Statik olarak tanımladığınız ip aralığı dışındaki tüm ip'lerden gelen trafiği bloklayan bir firewall-lan kuralı eklerseniz, bu makinelerin internet trafiğini kapatmış olursunuzMisalen 192.168.1.1 ile 192.168.1.20 arasına tüm clientlarınızı yerleştirin
192.168.1.21'den 192.168.1.254'e kadar olan kısmı da bloklayın -
yine de bu uyanık kullanıcılar yetki verilmiş bir kullanıcının IP adresini manual girerek bütün filtreyi aşıyorlar, o zaman da pfsense'nin hiçbir önemi kalmıyor, vesselam…
-
O uyanık kullanıcıların elinden ip değiştirme yetkisini alsanız nasıl olur acaba :)
-
bunu group policy olmayan bir yerde nasıl yapmayı düşünüyorsunuz?
-
-Çok makine yoksa her makinenin registry ayarlarına ayar yapılarak kullanıcının ip değiştirememesi sağlanabilir diye düşünüyorum. Netice de windows da ve domain yapısında yapılan herşey mutlaka her makinenin registry ayarlarında mevcut.. Şimdilik bilmiyorum ama eminim internet de ufak bir araştırmayla böyle bir bilgiye ulaşılabiliyordur..
-
o zaman da dışarıdan gelen bir bilgisayar için de bu ayarları da yapmanız lazım ki bunu yapamayız. Pfsense'de bu olay yok galiba bu noktada takıldım kaldım…
-
1-Deny unknown clients
2-Enable Static ARP entries
bu ikisini secerseniz istediğiniz tam olarak olur ama tum ipleri elle vermeniz ve mac leri eşleştirmeniz lazım.Benim sıkıntım 150 makina var hepsinin mac ip leri ile uğraşmak istemiyorum. pfsense den ip almayan çıkamasın gibi bişi arıyorum ama henüz bulamadım…
-
-Tekrar konuyu göründe aklıma geldi.. Captive Portal özelliğini açarsanız orda verdiğiniz mac id ler ile insanların elle dahi ip değiştirseler internete çıkmamasını sağlayabilirisiniz..
-
Winlock adında bir program var Pfsense önde Winlock Terminalde harikalar yaratıyor. Şiddetle öneririm. Terminaldeki hemen hemen her yetkiyi kontrol altına alabiliyorsunuz.
Bunun dışında ben sorunu şöyle çözdüm. Sistemdeki diğer DHCP sunucularını kapattım. Pfsense xxx.xxx.1.1 - xxx.xxx.1.30 arasına istediğim gibi guruplar oluşturdum yetkiler verdim. tekrar kural tanımlayarak xxx.xxx.1.31-xxx.xxx.1.255 aralığını kısıtlamalara soktum böylece çözüldü.
-
@VeliA bütün IP'leri MAC adresine göre sabitledim ve dediklerini işaretledim ama hata mesajı alıyorum ve bu işaretlediklerim kaydolmuyor.
Enable Static ARP entries: Bunun ne işe yaradığını da tam anlayamadım?
@Onur dışardan gelen biri xxx.xxx.1.1 ile xxx.xxx.1.30 arasında bir IP'yi elle kendi bilgisayarına girerse bunu nasıl engelleyebiliyorsunuz? Ayrıca benim dışardan gelen insanlar için terminale müdahale etme yetkim yok, daha etkin çözümlere ihtiyacım var.
@cemx Captive Portal'ı deneyeceğim.
