IP atrelado ao mac address



  • Bom dia pessoal,
    Estou atrelando ip ao mac address. Funcionou quase da forma que eu queria. Minha duvida é : ao atrelar o ip no mac, se o usuario for nas configurações de rede da maquina e alterar o ip, ele não pode navegar, uma vez q aquele mac foi atrelado a determinado ip. Certo ? Fiz esse teste em minha maquina e quando alterei o ip nas configurações de rede, eu continuei navegando. Existe alguma forma de travar isso ?

    Att.Gregory



  • Bom dia!

    Aqui na empresa fiz o seguinte;
    Configurei o PFSense para gerir o DHCP da rede, atribuindo a cada máquina um IP relacionado ao MAC (Ethernet ou WIFI), e atribui que quem não estiver nessa lista, caí num range de IP's que não navegam.
    Aqui o proxy é transparente e são pouco mais de 25 máquinas.

    Detalha um pouco mais seu ambiente por favor.

    Abraço



  • @ghislenidroid:

    Bom dia!

    Aqui na empresa fiz o seguinte;
    Configurei o PFSense para gerir o DHCP da rede, atribuindo a cada máquina um IP relacionado ao MAC (Ethernet ou WIFI), e atribui que quem não estiver nessa lista, caí num range de IP's que não navegam.
    Aqui o proxy é transparente e são pouco mais de 25 máquinas.

    Detalha um pouco mais seu ambiente por favor.

    Abraço

    Boa tarde !
    Meu ambiente possui aproximadamente 70 maquinas. Meu pensamento foi : Rede : 192.168.10.XXX para as maquinas do T.I, 192.168.9.XXX Diretoria, 192.168.8.XXX Faturamento, 192.168.7.XXX D.P, 192.168.6.XXX Fiscal, 192.168.5.XXX TMS, 192.168.4.XXX Operacional, 192.168.3.XXX Wireless escritório ,192.168.2.XXX Servidores e 192.168.1.XXX Wireless do pátio. Qualquer ip diferente desses não poderiam navegar. Mesmo se o usuário for nas conexões de rede e alterar na mão.



  • Olha, esse assunto é bastante interessante. Você está utilizando VLan ou tem uma placa para cada subrede?



  • verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.

    aliás, porque você quer fazer isso? o que está tentando bloquear?



  • O ipguard faz isso. Você consegue bloquear acesso no mesmo segmento para qualquer mac não cadastrado.

    O pacote existe desde a versão 2.1 do pfSense. Na 2.3 e 2.4 ele pode ser instalado através do meu repositório não oficial.



  • @chipbr:

    verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.

    aliás, porque você quer fazer isso? o que está tentando bloquear?

    Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.



  • @ghislenidroid:

    Bom dia!

    Aqui na empresa fiz o seguinte;
    Configurei o PFSense para gerir o DHCP da rede, atribuindo a cada máquina um IP relacionado ao MAC (Ethernet ou WIFI), e atribui que quem não estiver nessa lista, caí num range de IP's que não navegam.
    Aqui o proxy é transparente e são pouco mais de 25 máquinas.

    Detalha um pouco mais seu ambiente por favor.

    Abraço

    Como voce fez esse cenário?



  • @roxton85:

    @chipbr:

    verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.

    aliás, porque você quer fazer isso? o que está tentando bloquear?

    Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.

    eu resolveria isso com VLAN e regras de firewall/router.
    e deixaria DHCP livre

    se trocassem o IP para um dos "servidores",  estaria logicamente segregado em outra rede e dai o camarada nao ia navegar em nada



  • Estou com o mesmo problema aqui. Eu amarrei o MAC ao IP e esta funcionando, mas se eu entro na rede com um computador não cadastrado e insiro um IP manualmente ele navega. Como faço para bloquear isso?

    Infelizmente não posso usar VLAN aqui…

    A imagem 01 é a da minha configuração.

    Existe a opção Static ARP na configuração do DHCP (imagem 02) e eu a deixei desabilitada. Se eu ativar resolveria isso?






  • Com o ipguard.

    @marcelloc:

    O ipguard faz isso. Você consegue bloquear acesso no mesmo segmento para qualquer mac não cadastrado.

    O pacote existe desde a versão 2.1 do pfSense. Na 2.3 e 2.4 ele pode ser instalado através do meu repositório não oficial.



  • Como faço para instalar ele usando o repositório?



  • @GustavoPru:

    Como faço para instalar ele usando o repositório?

    AMD64

    
    fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf
    
    

    I386

    
    fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficiali386.conf
    
    

    Testa em laboratório primeiro até pegar 'a manha' do ipguard.

    Se não criar uma regra pro seu ip/mac antes da sua lista de cliente, pode perder acesso ao fw.



  • Opa! Obrigado. Vou testar ele em VMs.



  • @chipbr:

    @roxton85:

    @chipbr:

    verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.

    aliás, porque você quer fazer isso? o que está tentando bloquear?

    Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.

    eu resolveria isso com VLAN e regras de firewall/router.
    e deixaria DHCP livre

    se trocassem o IP para um dos "servidores",  estaria logicamente segregado em outra rede e dai o camarada nao ia navegar em nada

    ok mas como vc resolveria o problema de clone de MAC, o pessoal sabia os endereços e qq um pode alterar isso nas conf de qq OS e setar um IP manual valido, ai o FW vai pensar que eh o maquina real da empresa.



  • @roxton85:

    ok mas como vc resolveria o problema de clone de MAC, o pessoal sabia os endereços e qq um pode alterar isso nas conf de qq OS e setar um IP manual valido, ai o FW vai pensar que eh o maquina real da empresa.

    Aí já é um "ataque" mais elaborado. O cara precisa ou ter acesso a outro pc que tem permissão ou ouvir o segmento atras de pares de ip/mac para depois usar em um horário alternativo ao da maquina "capturada".