Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IP atrelado ao mac address

    Scheduled Pinned Locked Moved Portuguese
    16 Posts 6 Posters 4.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gregorysf
      last edited by

      Bom dia pessoal,
      Estou atrelando ip ao mac address. Funcionou quase da forma que eu queria. Minha duvida é : ao atrelar o ip no mac, se o usuario for nas configurações de rede da maquina e alterar o ip, ele não pode navegar, uma vez q aquele mac foi atrelado a determinado ip. Certo ? Fiz esse teste em minha maquina e quando alterei o ip nas configurações de rede, eu continuei navegando. Existe alguma forma de travar isso ?

      Att.Gregory

      1 Reply Last reply Reply Quote 0
      • G
        ghislenidroid
        last edited by

        Bom dia!

        Aqui na empresa fiz o seguinte;
        Configurei o PFSense para gerir o DHCP da rede, atribuindo a cada máquina um IP relacionado ao MAC (Ethernet ou WIFI), e atribui que quem não estiver nessa lista, caí num range de IP's que não navegam.
        Aqui o proxy é transparente e são pouco mais de 25 máquinas.

        Detalha um pouco mais seu ambiente por favor.

        Abraço

        1 Reply Last reply Reply Quote 0
        • G
          gregorysf
          last edited by

          @ghislenidroid:

          Bom dia!

          Aqui na empresa fiz o seguinte;
          Configurei o PFSense para gerir o DHCP da rede, atribuindo a cada máquina um IP relacionado ao MAC (Ethernet ou WIFI), e atribui que quem não estiver nessa lista, caí num range de IP's que não navegam.
          Aqui o proxy é transparente e são pouco mais de 25 máquinas.

          Detalha um pouco mais seu ambiente por favor.

          Abraço

          Boa tarde !
          Meu ambiente possui aproximadamente 70 maquinas. Meu pensamento foi : Rede : 192.168.10.XXX para as maquinas do T.I, 192.168.9.XXX Diretoria, 192.168.8.XXX Faturamento, 192.168.7.XXX D.P, 192.168.6.XXX Fiscal, 192.168.5.XXX TMS, 192.168.4.XXX Operacional, 192.168.3.XXX Wireless escritório ,192.168.2.XXX Servidores e 192.168.1.XXX Wireless do pátio. Qualquer ip diferente desses não poderiam navegar. Mesmo se o usuário for nas conexões de rede e alterar na mão.

          1 Reply Last reply Reply Quote 0
          • G
            GustavoPru
            last edited by

            Olha, esse assunto é bastante interessante. Você está utilizando VLan ou tem uma placa para cada subrede?

            Passe adiante todo conhecimento que adquiriu.

            1 Reply Last reply Reply Quote 0
            • C
              chipbr
              last edited by

              verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.

              aliás, porque você quer fazer isso? o que está tentando bloquear?

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                O ipguard faz isso. Você consegue bloquear acesso no mesmo segmento para qualquer mac não cadastrado.

                O pacote existe desde a versão 2.1 do pfSense. Na 2.3 e 2.4 ele pode ser instalado através do meu repositório não oficial.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • R
                  roxton85
                  last edited by

                  @chipbr:

                  verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.

                  aliás, porque você quer fazer isso? o que está tentando bloquear?

                  Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.

                  1 Reply Last reply Reply Quote 0
                  • R
                    roxton85
                    last edited by

                    @ghislenidroid:

                    Bom dia!

                    Aqui na empresa fiz o seguinte;
                    Configurei o PFSense para gerir o DHCP da rede, atribuindo a cada máquina um IP relacionado ao MAC (Ethernet ou WIFI), e atribui que quem não estiver nessa lista, caí num range de IP's que não navegam.
                    Aqui o proxy é transparente e são pouco mais de 25 máquinas.

                    Detalha um pouco mais seu ambiente por favor.

                    Abraço

                    Como voce fez esse cenário?

                    1 Reply Last reply Reply Quote 0
                    • C
                      chipbr
                      last edited by

                      @roxton85:

                      @chipbr:

                      verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.

                      aliás, porque você quer fazer isso? o que está tentando bloquear?

                      Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.

                      eu resolveria isso com VLAN e regras de firewall/router.
                      e deixaria DHCP livre

                      se trocassem o IP para um dos "servidores",  estaria logicamente segregado em outra rede e dai o camarada nao ia navegar em nada

                      1 Reply Last reply Reply Quote 0
                      • G
                        GustavoPru
                        last edited by

                        Estou com o mesmo problema aqui. Eu amarrei o MAC ao IP e esta funcionando, mas se eu entro na rede com um computador não cadastrado e insiro um IP manualmente ele navega. Como faço para bloquear isso?

                        Infelizmente não posso usar VLAN aqui…

                        A imagem 01 é a da minha configuração.

                        Existe a opção Static ARP na configuração do DHCP (imagem 02) e eu a deixei desabilitada. Se eu ativar resolveria isso?

                        mac_pfsense.png
                        mac_pfsense.png_thumb
                        mac_pfsense_02.png
                        mac_pfsense_02.png_thumb

                        Passe adiante todo conhecimento que adquiriu.

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          Com o ipguard.

                          @marcelloc:

                          O ipguard faz isso. Você consegue bloquear acesso no mesmo segmento para qualquer mac não cadastrado.

                          O pacote existe desde a versão 2.1 do pfSense. Na 2.3 e 2.4 ele pode ser instalado através do meu repositório não oficial.

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • G
                            GustavoPru
                            last edited by

                            Como faço para instalar ele usando o repositório?

                            Passe adiante todo conhecimento que adquiriu.

                            1 Reply Last reply Reply Quote 0
                            • marcellocM
                              marcelloc
                              last edited by

                              @GustavoPru:

                              Como faço para instalar ele usando o repositório?

                              AMD64

                              
                              fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf
                              
                              

                              I386

                              
                              fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficiali386.conf
                              
                              

                              Testa em laboratório primeiro até pegar 'a manha' do ipguard.

                              Se não criar uma regra pro seu ip/mac antes da sua lista de cliente, pode perder acesso ao fw.

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • G
                                GustavoPru
                                last edited by

                                Opa! Obrigado. Vou testar ele em VMs.

                                Passe adiante todo conhecimento que adquiriu.

                                1 Reply Last reply Reply Quote 0
                                • R
                                  roxton85
                                  last edited by

                                  @chipbr:

                                  @roxton85:

                                  @chipbr:

                                  verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.

                                  aliás, porque você quer fazer isso? o que está tentando bloquear?

                                  Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.

                                  eu resolveria isso com VLAN e regras de firewall/router.
                                  e deixaria DHCP livre

                                  se trocassem o IP para um dos "servidores",  estaria logicamente segregado em outra rede e dai o camarada nao ia navegar em nada

                                  ok mas como vc resolveria o problema de clone de MAC, o pessoal sabia os endereços e qq um pode alterar isso nas conf de qq OS e setar um IP manual valido, ai o FW vai pensar que eh o maquina real da empresa.

                                  1 Reply Last reply Reply Quote 0
                                  • marcellocM
                                    marcelloc
                                    last edited by

                                    @roxton85:

                                    ok mas como vc resolveria o problema de clone de MAC, o pessoal sabia os endereços e qq um pode alterar isso nas conf de qq OS e setar um IP manual valido, ai o FW vai pensar que eh o maquina real da empresa.

                                    Aí já é um "ataque" mais elaborado. O cara precisa ou ter acesso a outro pc que tem permissão ou ouvir o segmento atras de pares de ip/mac para depois usar em um horário alternativo ao da maquina "capturada".

                                    Treinamentos de Elite: http://sys-squad.com

                                    Help a community developer! ;D

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.