IP atrelado ao mac address
-
verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.
aliás, porque você quer fazer isso? o que está tentando bloquear?
Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.
-
Bom dia!
Aqui na empresa fiz o seguinte;
Configurei o PFSense para gerir o DHCP da rede, atribuindo a cada máquina um IP relacionado ao MAC (Ethernet ou WIFI), e atribui que quem não estiver nessa lista, caí num range de IP's que não navegam.
Aqui o proxy é transparente e são pouco mais de 25 máquinas.Detalha um pouco mais seu ambiente por favor.
Abraço
Como voce fez esse cenário?
-
verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.
aliás, porque você quer fazer isso? o que está tentando bloquear?
Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.
eu resolveria isso com VLAN e regras de firewall/router.
e deixaria DHCP livrese trocassem o IP para um dos "servidores", estaria logicamente segregado em outra rede e dai o camarada nao ia navegar em nada
-
Estou com o mesmo problema aqui. Eu amarrei o MAC ao IP e esta funcionando, mas se eu entro na rede com um computador não cadastrado e insiro um IP manualmente ele navega. Como faço para bloquear isso?
Infelizmente não posso usar VLAN aqui…
A imagem 01 é a da minha configuração.
Existe a opção Static ARP na configuração do DHCP (imagem 02) e eu a deixei desabilitada. Se eu ativar resolveria isso?
-
Com o ipguard.
O ipguard faz isso. Você consegue bloquear acesso no mesmo segmento para qualquer mac não cadastrado.
O pacote existe desde a versão 2.1 do pfSense. Na 2.3 e 2.4 ele pode ser instalado através do meu repositório não oficial.
-
Como faço para instalar ele usando o repositório?
-
Como faço para instalar ele usando o repositório?
AMD64
fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf
I386
fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficiali386.conf
Testa em laboratório primeiro até pegar 'a manha' do ipguard.
Se não criar uma regra pro seu ip/mac antes da sua lista de cliente, pode perder acesso ao fw.
-
Opa! Obrigado. Vou testar ele em VMs.
-
verifique no DHCP server do pfsense pela opção de só permitir comunicação para os IP cadastrados ao MAC da lista, vai funcionar como você quer, mas é um saco gerenciar isso.
aliás, porque você quer fazer isso? o que está tentando bloquear?
Nao sei se é pela mesma razao dele mas quando trabalhava em uma faculdade tinhamos redes separadas para tudo, todos com ip fixo e mac "amarrado" setado manualmente. Mas os espertinhos do curso de redes apoiados pelo professor, ligavam seus laptops na epoca e setavam um ip valido (eles tiravam o path cord e ligavam diretamente em seus laptops) e quase toda vez esse ip valido era de uma maquina real da faculdade. Enfim foi uma verdadeira bagunca, o monitamento era prejudicado e havia conflito de ip com os laptops.
eu resolveria isso com VLAN e regras de firewall/router.
e deixaria DHCP livrese trocassem o IP para um dos "servidores", estaria logicamente segregado em outra rede e dai o camarada nao ia navegar em nada
ok mas como vc resolveria o problema de clone de MAC, o pessoal sabia os endereços e qq um pode alterar isso nas conf de qq OS e setar um IP manual valido, ai o FW vai pensar que eh o maquina real da empresa.
-
ok mas como vc resolveria o problema de clone de MAC, o pessoal sabia os endereços e qq um pode alterar isso nas conf de qq OS e setar um IP manual valido, ai o FW vai pensar que eh o maquina real da empresa.
Aí já é um "ataque" mais elaborado. O cara precisa ou ter acesso a outro pc que tem permissão ou ouvir o segmento atras de pares de ip/mac para depois usar em um horário alternativo ao da maquina "capturada".