Blocare acces internet
-
Salutare tuturor,am su eu o întrebare,cum blochez accesul la internet pt orice pc din rețea,chiar dacă își schimbă ip-ul?
Mulțumesc.
-
salut , se poate face pana la punctul in care clientul isi schimba adresa hardware mac prin activarea ARP-ului static - http://megacommunicate.blogspot.com/2011/12/dhcp-mac-filtering.html apoi poti aplica reguli de firewall la nivel de ip .
-
Nu de schimbarea macului îmi fac griji ci dacă își pune manual un alt ip să nu iasă la net….
-
Trebuie sa fi mai explicit ce doresti sa faci, sunt multe metode:
- poti sa pui toti clientii care nu trebuie sa iasa pe WAN pe un LAN/subnet care sa nu aibe voie sa iasa pe WAN dar are acces la resursele din LAN ( poti sa le definesti tu ),
- poti sa selectezi cite un client individual pe baza de MAC-IP predefinit, daca activezi la DHCP server:
Deny unknown clients si
Enable Static ARP entries. - poti sa interzici accesul la toti clientii care primesc IP de la serverul DHCP pe un range definit de tine.
- poti sa activezi Captive Portal-ul
…
etc.
-
Am aprox 10 clienti de mine si vreau ca atunci cand il limitez,sau ii tai accesul la net sa nu ''rezolve'' schimband doar ip-ul….
Care ar fi cea mai eficienta solutie?
astea stiu sa le fac :
- poti sa pui toti clientii care nu trebuie sa iasa pe WAN pe un LAN/subnet care sa nu aibe voie sa iasa pe WAN dar are acces la resursele din LAN ( poti sa le definesti tu ),
- poti sa selectezi cite un client individual pe baza de MAC-IP predefinit, daca activezi la DHCP server:
Deny unknown clients si
Enable Static ARP entries. - poti sa interzici accesul la toti clientii care primesc IP de la serverul DHCP pe un range definit de tine.
Dar cu captiv portal nu stiu.....
-
Iti definesti captiv portal pe interfata pe care sunt clientii ( trebuie sa cauti tutoriale ) si la toti clientii care vrei sa aiba acces pe internet fara sa se opreasca la pagina de log-in le introduci adresa MAC.
Cine nu are adresa MAC introdusa sau o schimba va fi oprit de pagina de log-in.
Daca doresti extra adaugi useri/parola sau folosesti si vouchere pentru a avea acces clientul o perioada limitata de timp.
Partea bonus este ca le poti defini si limitarea de viteza up/down daca doresti foarte simplu cind le introduci MAC-ul. -
Speram la un tutorial,step by step…....
ca sunt multe pe net dar voiam ceva testat de cineva.......Multumesc frumos oricum.....
-
Nu are rost sa reinventez roata, uite aici un link la un tutorial ok cu user/pass, tot pe acelasi blog gasesti mai multe implementari referitor la captiv portal.
http://blog.stefcho.eu/pfsense-2-0-rc1-configure-captive-portal-for-guests-with-local-user-management/
-
Buna ziua!
Cam tarziu dar poate fi util.
Daca ai un client mai … cititor, poate scana reteaua, isi poate schimba si adresa MAC si IP cu cele ale altui PC existent in retea.
Pentru asta ai o sigura solutie. Iti achizitionezi un switch care sa stie sa faca vlan-uri si sa accepte blocare MAC per port. Nu faci vlanuri, doar setezi invatare si blocare MAC/port. Apoi setezi serverul DHCP sa aloce aceleasi adrese IP /MAC. Poti sa ma crezi ca v-a turba si nu va trece de switch daca schimba MAC-ul. Restul face limitarea cu pFsense. Investitia intr-un switch (ex:Zyxel2108G secondhand) cam 250Ron se justifica.
Mai exista si alte metode de exemplu sa realizezi Captiv Portal modificat cu user si parola. Dar esti la mana celor din retea care pot sa dea parola vecinului.