IP atrelado ao mac address
-
Bom dia!
Aqui na empresa fiz o seguinte;
Configurei o PFSense para gerir o DHCP da rede, atribuindo a cada máquina um IP relacionado ao MAC (Ethernet ou WIFI), e atribui que quem não estiver nessa lista, caí num range de IP's que não navegam.
Aqui o proxy é transparente e são pouco mais de 25 máquinas.Detalha um pouco mais seu ambiente por favor.
Abraço
Boa tarde !
Meu ambiente possui aproximadamente 70 maquinas. Meu pensamento foi : Rede : 192.168.10.XXX para as maquinas do T.I, 192.168.9.XXX Diretoria, 192.168.8.XXX Faturamento, 192.168.7.XXX D.P, 192.168.6.XXX Fiscal, 192.168.5.XXX TMS, 192.168.4.XXX Operacional, 192.168.3.XXX Wireless escritório ,192.168.2.XXX Servidores e 192.168.1.XXX Wireless do pátio. Qualquer ip diferente desses não poderiam navegar. Mesmo se o usuário for nas conexões de rede e alterar na mão. -
Olha, esse assunto é bastante interessante. Você está utilizando VLan ou tem uma placa para cada subrede?
-
verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.
aliás, porque você quer fazer isso? o que está tentando bloquear?
-
O ipguard faz isso. Você consegue bloquear acesso no mesmo segmento para qualquer mac não cadastrado.
O pacote existe desde a versão 2.1 do pfSense. Na 2.3 e 2.4 ele pode ser instalado através do meu repositório não oficial.
-
verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.
aliás, porque você quer fazer isso? o que está tentando bloquear?
Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.
-
Bom dia!
Aqui na empresa fiz o seguinte;
Configurei o PFSense para gerir o DHCP da rede, atribuindo a cada máquina um IP relacionado ao MAC (Ethernet ou WIFI), e atribui que quem não estiver nessa lista, caí num range de IP's que não navegam.
Aqui o proxy é transparente e são pouco mais de 25 máquinas.Detalha um pouco mais seu ambiente por favor.
Abraço
Como voce fez esse cenário?
-
verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.
aliás, porque você quer fazer isso? o que está tentando bloquear?
Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.
eu resolveria isso com VLAN e regras de firewall/router.
e deixaria DHCP livrese trocassem o IP para um dos "servidores", estaria logicamente segregado em outra rede e dai o camarada nao ia navegar em nada
-
Estou com o mesmo problema aqui. Eu amarrei o MAC ao IP e esta funcionando, mas se eu entro na rede com um computador não cadastrado e insiro um IP manualmente ele navega. Como faço para bloquear isso?
Infelizmente não posso usar VLAN aqui…
A imagem 01 é a da minha configuração.
Existe a opção Static ARP na configuração do DHCP (imagem 02) e eu a deixei desabilitada. Se eu ativar resolveria isso?
-
Com o ipguard.
O ipguard faz isso. Você consegue bloquear acesso no mesmo segmento para qualquer mac não cadastrado.
O pacote existe desde a versão 2.1 do pfSense. Na 2.3 e 2.4 ele pode ser instalado através do meu repositório não oficial.
-
Como faço para instalar ele usando o repositório?
-
Como faço para instalar ele usando o repositório?
AMD64
fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.confI386
fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficiali386.confTesta em laboratório primeiro até pegar 'a manha' do ipguard.
Se não criar uma regra pro seu ip/mac antes da sua lista de cliente, pode perder acesso ao fw.
-
Opa! Obrigado. Vou testar ele em VMs.
-
verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.
aliás, porque você quer fazer isso? o que está tentando bloquear?
Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.
eu resolveria isso com VLAN e regras de firewall/router.
e deixaria DHCP livrese trocassem o IP para um dos "servidores", estaria logicamente segregado em outra rede e dai o camarada nao ia navegar em nada
ok mas como vc resolveria o problema de clone de MAC, o pessoal sabia os endereços e qq um pode alterar isso nas conf de qq OS e setar um IP manual valido, ai o FW vai pensar que eh o maquina real da empresa.
-
ok mas como vc resolveria o problema de clone de MAC, o pessoal sabia os endereços e qq um pode alterar isso nas conf de qq OS e setar um IP manual valido, ai o FW vai pensar que eh o maquina real da empresa.
Aí já é um "ataque" mais elaborado. O cara precisa ou ter acesso a outro pc que tem permissão ou ouvir o segmento atras de pares de ip/mac para depois usar em um horário alternativo ao da maquina "capturada".
