Usuário derrubando proxy
-
Bom dia
Amigos estou com um problema, tenho 3 redes em uma empresa com o pfsense fazendo DHCP relay e distribuindo os endereços para elas, acontece que uma dessas redes é uma DMZ onde eu tenho o proxy rodando, pois bem, nesta mesma rede tenho também o wireless, que praticamente qualquer pessoa acessa, um espertalhão na rede wireless descobriu que configurando o ip dele fixo com o ip do proxy ele conseguiria navegar com tudo liberado, mas ai fica derrubando o meu proxy, a questão é como eu posso fazer para o pfsense aceitar somente o meu proxy e nunca outra maquina, mesmo que esta maquina esteja com o mesmo ip do proxy? Seria por MAC? como? Já que MACs também podem ser clonados, haveria alguma outra alternativa?
desde já muito obrigado.
-
a questão é como eu posso fazer para o pfsense aceitar somente o meu proxy e nunca outra maquina, mesmo que esta maquina esteja com o mesmo ip do proxy? Seria por MAC? como? Já que MACs também podem ser clonados, haveria alguma outra alternativa?
Você pode usar o ip guard para liberar comunicação apenas para ips/macs cadastrados ou colocar seu squid em outra rede(diferente das outras 3), impedindo o furto do ip por parte do espertão.
-
kkkkkk o cara coloca o mesmo ip do firewall e cada um que me aparece, e melhor você separar essa rede (as vezes fazer uma vlan não sei)!
Ou usar o ipguard como o marcelloc recomendeou! -
Bom dia
Hum galera valeu pelas dicas, por enquanto não tenho como criar outra rede, vou apenas usar o ipguard.
Obrigado a Todos!!
-
vou apenas usar o ipguard.
Cuidado na hora de criar as regras no ipguard para não ficar sem acesso ao firewall. ;)
Não esqueça de fazer backup da configuração antes de começar.
-
Você também pode usar a opção do DHCP Server:
Enable Static ARP entries
Note: Only the machines listed below will be able to communicate with the firewall on this NIC.Assim, quem não estiver cadastrado com seu MAC, se quer consiguirá comunicação para com o firewall. Mas é óbvio que se o infeliz mudar o IP da máquina local colocando o mesmo endereço do firewall, vai causar problemas para a rede como um todo. Particularmente, no seu caso, pensaria em um PDC, de modo que os usuários não possam mexer nas confs. das suas estações!
Simples assim! ;)
Abraços!
Jack -
Hummmm também é uma boa ideia JackL!!! testarei também, mais uma vez obrigado a todos!!
