Restrizione tramite MAC ADDRESS
-
Per quello che so io in pfSense non è possibile utilizzare i MAC address nelle regole di firewall.
Personalmente ho risolto il problema con il captive portal integrato, inserendo i MAC address autorizzati in whitelist (quindi senza autenticazione).
Ovviamente ho messo gli access point su una VLAN dedicata su cui ho attivato appunto il captive portal. -
Ciao,
confermo che con pfSense non è possibile limitare l'accesso per mac address. Potresti provare con lo switch, di solito quelli un po'più evoluti hanno questa funzionalità.Attenzione al captive portal, l'errore più comune è credere che un dispositivo non si colleghi veramente fino a quando non fa login sul CP. Questo è falso, alla rete i dispositivi si connettono comunque, quello che viene inibito è il traffico verso internet. Quindi se nella rete del CP sono esposte macchine e servizi, queste sono accessibili da chiunque si colleghi alla rete anche senza fare login sul CP.
Ciao Fabio
-
Il server dhcp di pfsense permette di " filtrare gli accessi " da MAC, ed anche le reservation tramite MAC.
Guarda sul fondo pagina dove ci sono le icone che nascondono le opzioni avanzate cè la voce ( Services>DHCPServer ) : MAC address Control.
Da li puoi permettere o no a seconda del MAC del device aggiunti in lista.
Non so se ci sono limiti al numero di device aggiunti in lista.
Si parla di dhcp quindi non assegna IP hai device non presenti o presenti nella lista "Deny". -
Il server dhcp di pfsense permette di " filtrare gli accessi " da MAC, ed anche le reservation tramite MAC.
Guarda sul fondo pagina dove ci sono le icone che nascondono le opzioni avanzate cè la voce ( Services>DHCPServer ) : MAC address Control.
Da li puoi permettere o no a seconda del MAC del device aggiunti in lista.
Non so se ci sono limiti al numero di device aggiunti in lista.
Si parla di dhcp quindi non assegna IP hai device non presenti o presenti nella lista "Deny".Infatti stavo guardando propio questa opzione ma mi chiedevo se qualcuno poi immette ip statico su una macchina si connette comunque?
Adesso provo nel frattempo grazie -
Ciao,
ovviamente se uno si mette a mano l'IP può collegarsi e non mi sembra un metodo sicuro per isolare la tua rete da accessi non autorizzati.
Ciao Fabio -
No se il suo MAC non è nella lista Allow e ancora meno se cè nella Deny.
Come detto sopra è a livello DHCP quindi non si può escludere lo spoofing del MAC, tuttavia funziona, non è pratico se i device sono molti e cambiano frequentemente.
Forse puoi gestire i device su più subnet diverse (quindi con NIC e server DHCP dedicato) o provare assegnando pool di IP diversi sul server DHCP.
Dipende molto se puoi classificare in modo preciso il traffico generato dai tuoi utenti e dalla tua rete(utenti fissi, ospiti, occasionali,ecc e l' hardware di rete). -
Ho provato ma non mi permette di inserire MAC ma solo una parte del MAC per creare un pool di MAC abilitati o disabilitati.
-
Si ok, chiede le prime tre per ogni MAC come separatore la virgola es: 00:00:00,01:01:01.
-
Si infatti mi sa che l'unico modo sarebbe inserire un altra scheda di rete e un server radius per gestire gli accessi alla wifi tramite mac mi sembra che con radius si possa fare.
-
Ciao,
confermo che con pfSense non è possibile limitare l'accesso per mac address. Potresti provare con lo switch, di solito quelli un po'più evoluti hanno questa funzionalità.Attenzione al captive portal, l'errore più comune è credere che un dispositivo non si colleghi veramente fino a quando non fa login sul CP. Questo è falso, alla rete i dispositivi si connettono comunque, quello che viene inibito è il traffico verso internet. Quindi se nella rete del CP sono esposte macchine e servizi, queste sono accessibili da chiunque si colleghi alla rete anche senza fare login sul CP.
Ciao Fabio
Se si vuole procedere a limitare l'accesso per MAC io preferisco la soluzione Managed Switch, assegnando VLAN per MAC e segmentando il traffico WiFi tra Guest e Trusted. A questo punto uso poi pfSense per assegnare le regole firewall.
Credo, non ho provato, che una volta incanalato il traffico sulla VLAN, che sta su una sua subnet, si possa usare il Captive portal su questa subnet ed operare un ulteriore filtro.
L'altra soluzione è quella di usare un AP che supporti le VLAN.
