DHCP MAC Filtreleme ayarları
-
GuMgUmOk kardeş Services: DHCP server bölümünde Deny unknown clients aktif edip ve kullanıcıların mac adreslerini ve ip adreslerini yazdığında sorunun çözülecektir
-
Tacim arkadaşın söylediklerine ek olarak:
ancak bu durumda da, bir kullanıcı kendisi elle bir IP yazarak yine istediği ip'yi alabilir diye tahmin ediyorum.
Bunu group policy ile engelleme imkanınız yok ise
Statik olarak tanımladığınız ip aralığı dışındaki tüm ip'lerden gelen trafiği bloklayan bir firewall-lan kuralı eklerseniz, bu makinelerin internet trafiğini kapatmış olursunuzMisalen 192.168.1.1 ile 192.168.1.20 arasına tüm clientlarınızı yerleştirin
192.168.1.21'den 192.168.1.254'e kadar olan kısmı da bloklayın -
yine de bu uyanık kullanıcılar yetki verilmiş bir kullanıcının IP adresini manual girerek bütün filtreyi aşıyorlar, o zaman da pfsense'nin hiçbir önemi kalmıyor, vesselam…
-
O uyanık kullanıcıların elinden ip değiştirme yetkisini alsanız nasıl olur acaba :)
-
bunu group policy olmayan bir yerde nasıl yapmayı düşünüyorsunuz?
-
-Çok makine yoksa her makinenin registry ayarlarına ayar yapılarak kullanıcının ip değiştirememesi sağlanabilir diye düşünüyorum. Netice de windows da ve domain yapısında yapılan herşey mutlaka her makinenin registry ayarlarında mevcut.. Şimdilik bilmiyorum ama eminim internet de ufak bir araştırmayla böyle bir bilgiye ulaşılabiliyordur..
-
o zaman da dışarıdan gelen bir bilgisayar için de bu ayarları da yapmanız lazım ki bunu yapamayız. Pfsense'de bu olay yok galiba bu noktada takıldım kaldım…
-
1-Deny unknown clients
2-Enable Static ARP entries
bu ikisini secerseniz istediğiniz tam olarak olur ama tum ipleri elle vermeniz ve mac leri eşleştirmeniz lazım.Benim sıkıntım 150 makina var hepsinin mac ip leri ile uğraşmak istemiyorum. pfsense den ip almayan çıkamasın gibi bişi arıyorum ama henüz bulamadım…
-
-Tekrar konuyu göründe aklıma geldi.. Captive Portal özelliğini açarsanız orda verdiğiniz mac id ler ile insanların elle dahi ip değiştirseler internete çıkmamasını sağlayabilirisiniz..
-
Winlock adında bir program var Pfsense önde Winlock Terminalde harikalar yaratıyor. Şiddetle öneririm. Terminaldeki hemen hemen her yetkiyi kontrol altına alabiliyorsunuz.
Bunun dışında ben sorunu şöyle çözdüm. Sistemdeki diğer DHCP sunucularını kapattım. Pfsense xxx.xxx.1.1 - xxx.xxx.1.30 arasına istediğim gibi guruplar oluşturdum yetkiler verdim. tekrar kural tanımlayarak xxx.xxx.1.31-xxx.xxx.1.255 aralığını kısıtlamalara soktum böylece çözüldü.
-
@VeliA bütün IP'leri MAC adresine göre sabitledim ve dediklerini işaretledim ama hata mesajı alıyorum ve bu işaretlediklerim kaydolmuyor.
Enable Static ARP entries: Bunun ne işe yaradığını da tam anlayamadım?
@Onur dışardan gelen biri xxx.xxx.1.1 ile xxx.xxx.1.30 arasında bir IP'yi elle kendi bilgisayarına girerse bunu nasıl engelleyebiliyorsunuz? Ayrıca benim dışardan gelen insanlar için terminale müdahale etme yetkim yok, daha etkin çözümlere ihtiyacım var.
@cemx Captive Portal'ı deneyeceğim.
