Фильтрация в firewall по МАС адресу
-
Не в тему сказано но попробуйте UserGate там этот функционал есть. Ток легче сделать из pfsense DHCP сервер…
-
Не в тему сказано но попробуйте UserGate там этот функционал есть. Ток легче сделать из pfsense DHCP сервер…
Мы только купили неограниченную версию Traffic Inspector как разработчики умудрились изуродовать его драйвер. Купить еще и UserGate не дадут денег. Нужно обойтись одним pf. DHCP на него перенести пока нельзя (ну вот так надо). Может кто-то более уверенно владеющий английским языком сможет обратиться к разработчикам pf по поводу добавления такой функциональности? Беглый осмотр интернета показывает что вопрос фильтрации по МАС-у в файерволе pf возникает регулярно, а значит функция будет востребована. Кроме того за совсем небольшое время жизни этой ветки уже всплыло два названия коммерческих продуктов, которые это умеют, а мне всегда говорили что свободное ПО всегда отличается от коммерческого в сторону большей функциональной насыщенности! :)
-
Кроме того за совсем небольшое время жизни этой ветки уже всплыло два названия коммерческих продуктов
Ага, ток их функционал настолько убог по сравнению с pf что эта 1 фишка нечего не стоит. А цена на их коммерческие продукты не малая.
-
Ага, ток их функционал настолько убог по сравнению с pf что эта 1 фишка нечего не стоит. А цена на их коммерческие продукты не малая.
Ну вот для нас как раз эта одна фишка и решает проблему выбора. В свое время именно из-за нее были отданы деньги, те самые немалые.
Как я понял стандартными средствами не обойтись? -
А почему все таки не использовать Pass-through MAC из Captive portal.
Для пользователей это будет абсолютно прозрачно (страницы авторизации не будет)
А лучше конечно купить коммутаторы с привязкой mac к порту.Еще есть извращенная схема:
1. На пф ставим Services: DHCP Relay
2. На dhcp разрешаем пакеты только с ip пф. Но конкретный dhcp должен поддерживать возможность работы со статическим ip (помимо мультикаста).
У меня так работает dhcpd под ubuntu, только пакеты релеит коммутатор третьего уровня. Еще так можно теги навешивать, чтобы сервер понимал с какого интерфейса пф пришел запрос. -
А почему все таки не использовать Pass-through MAC из Captive portal.
Для пользователей это будет абсолютно прозрачно (страницы авторизации не будет)…Я по незнанию считал что без страницы авторизации никак не обойтись. Можете разжевать подробно, для совсем неграмотных, как это делается?
И как это будет выглядеть для пользователей? Сейчас им достаточно включить компьютер и у "избранных" компьютеров (с нужными МАС-ами) интернет уже есть. Будет точно так же при применении указанной Вами стратегии? -
Делается это так:
- Включаем каптивный портал.
- Выбираем интерфейс LAN.
2.5) Ставим Authentication как Local User Manager / Vouchers. - Жмем Save.
- На закладке Pass-through вводим MAC клиента(ов), описание и при необходимости лимиты скорости.
Вот таким нехитрым путем мы получаем шлюз с фильтрацией по МАС-ам. :)
-
Делается это так:
- Включаем каптивный портал.
- Выбираем интерфейс LAN.
- Жмем Save.
- На закладке Pass-through вводим MAC клиента(ов), описание и при необходимости лимиты скорости.
И после этого страницы авторизации для этих клиентов нет.
При включенной галочке Authentication у всех остальных она отображается.
Без аутентификации не пробовал -
Делается это так:
- Включаем каптивный портал.
- Выбираем интерфейс LAN.
- Жмем Save.
- На закладке Pass-through вводим MAC клиента(ов), описание и при необходимости лимиты скорости.
И после этого страницы авторизации для этих клиентов нет.
При включенной галочке Authentication у всех остальных она отображается.
Без аутентификации не пробовалИ не будет , потому как :
Adding MAC addresses as pass-through MACs allows them access through the captive portal automatically without being taken to the portal page.
Так ТС и была необходима ТОЛЬКО фильтрация по МАС, т.е. внесен МАС в Pass-through - есть инет, не внесен - нет. Только и всего.
-
…При включенной галочке Authentication у всех остальных она отображается.
Без аутентификации не пробовалБез аутентификации тоже отображается для всех, кого не в списке pass-through MACs, но им достаточно нажать "Продолжить" и они оказываются в интернете! :) Чтобы это предотвратить нужно установить аутентификацию например локал.
-
И еще внимание на адрес WAN обратите. К нему тоже вроде доступ остается в обход каптива при включенном NAT (я по крайней мере вебку пф закрываю)
