Варианты БАНА по…..
-
1. Резервирование IP, добавление IP в SquidGuard. Тут ясно…. но долго, плюс "тратится" один адрес. Нехорошо.
2. Бан по МАКу. Есть куда вписать? В сквиде не нашел. Есть идеи? Deny unknown clients не подходит(не все IP предопределены).Идея в том, чтобы клиент хотябы не получил доступ к инету.
-
Предполагаю 'инет'+'squid' имеется ввиду доступ по http. Сделайте авторизацию средствами squid и раздайте логины клиентам.
-
Сделайте авторизацию средствами squid и раздайте логины клиентам.
Не выход. Клиентов постоянных только больше 100, плюс wifi фиг знает сколько еще. Задача просто не дать выйти компу в нет. Чисто по Бану МАКа никак? Повторюсь резервировать для ВСЕХ адреса не представляется возможным(только для некоторых, по которым делится доступ по разным уровням guard`ом).
-
Фильтр PF пока не умеет в обычном режиме работать с MAC.
CaptivePortal имеет только опцию разрешения по MAC.
В итоге - блокировать по MAC правилами файрвола не получится.Есть возможность привязки IP/MAC в DHCP + Static ARP , но для этого клиентам придется принудительно получать IP адреса с DHCP pfSense. Эту тему можно найти поиском по нашей ветке.
-
Фильтр PF пока не умеет в обычном режиме работать с MAC.
CaptivePortal имеет только опцию разрешения по MAC.
В итоге - блокировать по MAC правилами файрвола не получится.Есть возможность привязки IP/MAC в DHCP + Static ARP , но для этого клиентам придется принудительно получать IP адреса с DHCP pfSense. Эту тему можно найти поиском по нашей ветке.
Мы просто говорим об одном и том же, просто разными словами. Привязка реализована, но не для всех. Всех НЕВОЗМОЖНО физически.
Скорость "для всех кто не в списке" режется squid`ом.
CaptivePortal тоже реализован. PassThrough с резкой скорости ап|даун работает(заменяю им limiter) но НЕ ДЛЯ ВСЕХ. Всех НЕВОЗМОЖНО физически.Хотелось что-то наподобие PassThrough - только ЗАПРЕЩАЮЩИЙ. Жаль что нет. Ведь реально проще же не вязать IP к МАКу, а просто забанить его(MAC)?
-
Про разделения с маками видел что-то в пакете ipguard-dev.
-
Про разделения с маками видел что-то в пакете ipguard-dev.
Да, есть такой пакет:
Ipguard слушает в сети пакеты ARP. Все разрешенные MAC-IP пары, перечисленных в конфигурационные файлы.
Если получена одина из пар MAC-IP, которая не указана в файле конфигурации, он будет посылать ARP ответ с настроенным фальшивым адресом.
Это не допускается хост для правильной работы в сегменте локальной сети Ethernet.На сколько я понял из http://local.com.ua/forum/topic/19432-ipguard/ :
для Вашего случая достаточно добавить пару MAC/IP - 00:00:00:00:00:00 / 0.0.0.0 для разрешения всея и всего, а так-же пары MAC/фейк_IP для бана. Фейк_IP - это один и тот-же заранее выбранный IP адрес (к примеру 192.168.1.13 - "не повезло"), для которого в файрволе создано запрещающее правило.