Enable static ARP entries или как ограничить доступ к шлюзу



  • pfsense 2.4 + squid+lightsquid

    ЛАН 192.168.0.254, компы в сети 192.168.0.Х статика, но сеть общая на несколько офисов, и хотел бы раздать только определенным компам, dhcp отключен, включена галочка Enable static ARP entries, 3 компа вбиты в DHCP Static Mappings for this interface мак+ип, 2 компа не вбиты, ну думаю отлично, посторонних отключу, но не работает запрет , все компы могут в инет выходить, что не так?

    пробовал другой вариант: Алиас с списком кому запрещено, протокол тсп, Отклонять, ставлю в конец списка, пропадает инет у всех…



  • компы в сети 192.168.0.Х статика

    Создайте алиас с теми IP, котрым нельзя, создайте запрещающее правило с source=этот алиас, протокол = any и поставьте это правило выше, чем Default allow LAN to any rule.
    Проще  создать это правило нажав "copy" на  Default allow LAN to any rule
    Если pfSense используется как DNS локальной сети это может отключить входящих в алиас от DNS.



  • в этом и дело так делал, антилок правило первое, следующие правила разрешающие на порты 80 443 53 21 и тд, потом идет правило отклонять с алиасом запрещенных айпи, и потом уже правило  Default allow LAN to any rule, которое и то неактивно, в  таком варианте интернет пропадает у всех, даже кто выше стоит с разрешением на порты



  • Доброе.
    Погодите. Dhcp отключен на pf? В настр. сети у клиента ? Блокирование с вариациями на основе dhcp работает, если dhcp на пф вкл.



  • @werter:

    Доброе.
    Погодите. Dhcp отключен на pf? В настр. сети у клиента ? Блокирование с вариациями на основе dhcp работает, если dhcp на пф вкл.

    Dhcp отключен, у клиента настройки сети статика,в настройках Dhcp  "Включить статические записи ARP
    Данная опция остаётся, даже если DHCP сервер выключен. Только узлы, указанные ниже, смогут коммуницировать с межсетевым экраном на данной интерфейсе."

    получается 3 узла указано, остальные нет, а коммутируют все…



  • @Yuri4:

    в этом и дело так делал, антилок правило первое, следующие правила разрешающие на порты 80 443 53 21 и тд, потом идет правило отклонять с алиасом запрещенных айпи, и потом уже правило  Default allow LAN to any rule, которое и то неактивно, в  таком варианте интернет пропадает у всех, даже кто выше стоит с разрешением на порты

    1.антилок правило
    2.запрещающее правило для алиаса.
    3.разрешающее правило, для начала разрешите в нем все (можно задействовать Default allow LAN to any)



  • @pigbrother:

    @Yuri4:

    в этом и дело так делал, антилок правило первое, следующие правила разрешающие на порты 80 443 53 21 и тд, потом идет правило отклонять с алиасом запрещенных айпи, и потом уже правило  Default allow LAN to any rule, которое и то неактивно, в  таком варианте интернет пропадает у всех, даже кто выше стоит с разрешением на порты

    1.антилок правило
    2.запрещающее правило для алиаса.
    3.разрешающее правило, для начала разрешите в нем все (можно задействовать Default allow LAN to any)

    Невнимательность… проблема была в правиле запрещающем алиас, случайно поставил галочку реверс. Один из вариантов отключения лишних есть.

    Теперь бы понять как заставить работать по мак+ип



  • Теперь бы понять как заставить работать по мак+ип

    Вам уже ответили - без задействованного DHCP на pfSense - вероятно никак.
    http://www.thin.kiev.ua/router-os/50-pfsense/473-ippfsense.html
    Цитата:
    Замечание: Будьте осторожны при использовании статических ARP, гарантируйте, что все системы которые должны общаться с маршрутизатором перечислены в статическом списке перед активацией данной опции, особо это касается системы, используемой для подключения к WEB GUI.

    Вариант, который вас не устроит  - включить DHCP на pfSense и выдавить\привязывать статические адреса на нем.



  • @pigbrother:

    Теперь бы понять как заставить работать по мак+ип

    Вам уже ответили - без задействованного DHCP на pfSense - вероятно никак.
    http://www.thin.kiev.ua/router-os/50-pfsense/473-ippfsense.html
    Цитата:
    Замечание: Будьте осторожны при использовании статических ARP, гарантируйте, что все системы которые должны общаться с маршрутизатором перечислены в статическом списке перед активацией данной опции, особо это касается системы, используемой для подключения к WEB GUI.

    Вариант, который вас не устроит  - включить DHCP на pfSense и выдавить\привязывать статические адреса на нем.

    не так страшно, компов мало, получается будут работать те, кто в связке вбит в таблицу, а левые компы если и получат адрес, доступа к ПФ не будет, в dhcp возможно хватит диапазона из 2х адресов сделать автоматически раздавать



  • Снова проблемка, был сбой не знаю чего, пропал у всех доступ к инету и к шлюзу, те 3 компа которые вбил в таблицу статики работают, остальные нет, dhcp  выключен, галочка снята на арп статик, что ставлю что нет, доступ у других даже к вебке отсутствует пока не добавлю в таблицу…



  • Очистить таблицу arp?
    Pfsense хранит 30 автобэкапов - в консоли опция 15 -  Restore recent configuration.
    Восстановитесь на рабочую дату.


Log in to reply