Блокировка машин с вручную установленным IP



  • Коллеги, есть pfsense 2.4.3. На нём поднят DHCP-сервер. Но в офисе несколько контор и по тем или иным причинам, я не имею организационного влияния на все.
    Суть проблемы в том, что в одной из контор "железячник" устанавливает IP-адреса компьютерам в ручную - выбирает из свободных на момент установки ((( Зачем ему это я хз!!!
    Естественно DHCP об этом не в курсе ((( И время от времени появляются дурацкие проблемы...
    Можно как-то автоматически блокировать IP-адреса, не выдававшиеся DHCP?
    Есть SQUID, SquidGuard.



  • Services \ DHCP server \ LAN
    [V] Deny unknown clients
    If this is checked, only the clients defined below will get DHCP leases from this server.

    Только будьте готовы что Вы тоже можете потерять доступ к админке и интернету.

    А способы влияния надо изыскивать.



    1. А почему я могу потерять доступ к админке и инету?
    2. На 2.4.3 эта фраза звучит немного иначе - Only the clients defined below will get DHCP leases from this server. (Но по-сути тоже самое.)
      Здесь я посчитал ключевым словом below (т.е. "ниже"). А ниже на этой странице только статические IP-адреса. Динамических на этой странице вообще нет. Вы уверены, что я не прав?


  • @tolpa правильно, я поторопился.
    В остальном посмотри здесь.



  • @tolpa said in Блокировка машин с вручную установленным IP:

    1. А почему я могу потерять доступ к админке и инету?
    2. На 2.4.3 эта фраза звучит немного иначе - Only the clients defined below will get DHCP leases from this server. (Но по-сути тоже самое.)
      Здесь я посчитал ключевым словом below (т.е. "ниже"). А ниже на этой странице только статические IP-адреса. Динамических на этой странице вообще нет. Вы уверены, что я не прав?

    Перед тем как вкл Only the clients defined below will get DHCP leases from this server. надо создать статический IP для вашей машины (РС) вписав свой МАС

    и незабываем что при вкл Only the clients defined below will get DHCP leases from this server. доступ будут иметь РС только с статик IP



  • @scodezan, статья прикольная (((
    Просто я этого и боялся, что придётся каждому статику прописывать.
    И странно, что в статье говориться что DHCP будет выдавать всем адреса - т.е. не только статичными IP О-о
    Only the clients defined below will get DHCP leases from this server дословно переводиться как Только клиенты, указанные ниже получат аренду DHCP от этого сервера.
    Как-то не клеиться, а проводить эксперимент на "живой" сетке не хотелось бы (



  • Перед тем как вкл Only the clients defined below will get DHCP leases from this server. надо создать статический IP для вашей машины (РС) вписав свой МАС

    @oleg1969, как бы первое что я делаю после установки - это себе даю статический адрес. Как иначе то? )

    и незабываем что при вкл Only the clients defined below will get DHCP leases from this server. доступ будут иметь РС только с статик IP

    Вот с этим я согласен (((



  • Если с указанной выше "галкой", действительно не будут выдаваться динамические IP, то процесс внесения статических IP превратиться в ад! (((



  • @tolpa said in Блокировка машин с вручную установленным IP:

    Если с указанной выше "галкой", действительно не будут выдаваться динамические IP, то процесс внесения статических IP превратиться в ад! (((

    Если машин много тогда да!
    Зато будет много возможностей типа
    1 у умников отпадет желание менять IP
    2 будет возможность любой IP привязать практически к любой Фичи (фаревал ,СР и многое другое)



  • Зато будет много возможностей типа
    1 у умников отпадет желание менять IP

    @oleg1969, у нас любят устраивать "карусель" - боссу берут новый комп, егойный уходит заму, от зама... Представляю сколько переделывать на проксе придётся )))

    2 будет возможность любой IP привязать практически к любой Фичи (фаревал ,СР и многое другое)

    Те, кого надо "разрулить", уже привязаны на постоянный адрес )



  • Тут мы две галки затронули с Enable Static ARP entries адреса раздаются, но для получения доступа нужно делать привязку MAC-IP в DHCP leases.



  • @scodezan, поясни подробнее пожалуйста?



  • @tolpa я давал ссылку выше там это разжёвано.



  • хм... проверю завтра и отпишусь



  • Блин, фигня какая-то.
    Под динамические IP был выделен диапазон от 100 до 254.
    Начал переносить динамику в статику - адресу 192.168.0.224 даю статику 192.168.0.151. Применяю изменения - через некоторое время 192.168.0.224 опять появляется. Причём стоит как offline и active (((
    Изменил время выдачи аренды на 1 минуту - не помогло (((
    Что пошло не так? (



  • @tolpa

    Насколько я помню в pfSense статик IP надо назначать вне диапазона DHCP(то есть вне 192.168.1.100-254)

    Для примера допустим 192.168.1.55



  • @oleg1969 да. Забыл написать что диапазон предварительно изменил на 200-254



  • Наверное надо нажать справа на корзинку (Delete lease), чтобы удалить из DHCP сервера информацию по этому компу.



  • @dave-opc до этого я догадался )))
    не помогло... почти моментально повляется снова



  • А в разделе Diagnostic - ARP table этой машины нет в списке?



  • @dave-opc щас посмотрел. Щас нет. Вчера - хз была ли (



  • А каким образом добавили static IP? через белый "плюсик" (Add static mapping) в разделе DHCP leases?



  • @dave-opc да. Это некорректно?



  • Это корректно.

    1. Попробуйте отключить сетевую карту на компьютере (которому задаете статичный IP).
    2. Удалите в DHCP lease старый IP, если он там есть.
    3. Включите сетевую на компьютере.

    Если mac адрес правильный, и на компе стоит получение IPv4 по DHCP, то должен получить статичный IP



  • @dave-opc звучит логично. На практике нереально или крайне нежелательно - речь о парке примерно в 150 машин (((( я не набегаюсь (
    ну и перенос хотел сделать завтра (в воскресенье), чтоб люди пришли и опа...



  • А пробовали сделать рестарт DHCP сервиса?

    По идее, чтобы избежать бегания, надо прописать заранее все mac адреса в статичные IP, чтобы при включении они сразу получили нужный IP адрес.

    И еще, вы уверены, что IP на машинах получают по DHCP?



  • @dave-opc, рестарт DHCP делал. Делал после прописывания статичного IP.
    А вот получает ли та конкретная машина IP по DHCP - вот тут я не подумал. "Железячник" из первого моего поста мог выставить IP и вручную! (((
    Похоже в этом суть - я об этом не подумал, хотя всё на поверхности (((
    Спасибо!!! Покурю этот вопрос... (



  • @scodezan, сегодня проверил - всё правильно в той статье сказано!
    Устройства не прописанные в статике DHCP получают, локальную сеть видят, а интернет нет! )
    И с этих машин невозможно зайти на веб-морду pfsense!
    Спасибо большое!



  • Посдкажите в чём отличие привязки MAC-IP и ARP Table Static Entry ?



  • DHCP Static Mappings for this interface позволяет указать предпочитаемый IP адрес для конкретного MAC адреса.

    ARP Table Static Entry настраивает фаервол так чтобы трафик разрешался только если соблюдается вышеупомянутое предпочтение.



  • @scodezan

    ARP Table Static Entry настраивает фаервол так чтобы трафик разрешался только если соблюдается вышеупомянутое предпочтение.

    Нет. Эта галка создает жесткую связку IP+MAC в ARP таблице пф.
    Даже если откл. dhcp на пф , то связка все равно будет работать. Пф будет считать, что этому MAC-у присвоен только такой ip и никакой другой.

    Ps.

    Но в офисе несколько контор и по тем или иным причинам, я не имею организационного влияния на все.

    Ох. В таком случае правильнее вообще физически (доп. сетевая) или на канальном уровне (L2-свитч) разделить сети. Иначе этот "коллега" может создать большие проблемы. Какие ? Напр., у него в сети заведется вирус-шифровальщик. Дальше рассказывать, что будет?



  • Короче ржака! )))
    Неделю назад написал этому умнику, что статических IP ему больше не видать и срок до понедельника переключить всех на динамические... Копию письма отправил его боссу.
    Смотрю никаких подвижек нет. В пятницу при свидетелях босса предупредил, что в понедельник, в связи с невыполнением требований, у его фирмы будут большие неприятности. Тот поржал... Сегодня ржал Я! )))
    Сегодня поставил галку Enable static ARP entries и начал всем привязывать IP.
    Свои конторы запустил в инет на выходных. Постепенно запускаю в инет компы "железячника" - появились они в DHCP, я привязал...
    ...Вдруг бросается в глаза, что в столбце hostname в DHCP Leases два компа с именем Kassa ! Как так-то О-о
    Начинаю сравнивать и понимаю что mac'и у них отличаются на единицу - "железячник" решил сменить mac-адрес и типа обмануть "систему" )))
    Я по невнимательности на оба mac'а выдал по IP ))) Я тут же нашёл всех "близнецов" и удалил нафиг, чтоб не разбираться кто-есть-who.
    В 11:00 прибежал босс "железячника". Говорит "найди с ним общий язык, подскажи... - у меня офис не работает"! Я спустился - во-первых у тех кто догадался перезагрузиться (единицы) инет есть (получили новый IP). У остальных - нет.
    Я этому клоуну отбившемуся от труппы говорю - "провод выдерни и вставь" (чтоб DHCP с новым IP подцепило). Вижу мокрый весь, замученный, смотрит с надеждой, но не верит. Добавляю - "Не на 220 провод, а сетевой!" ...и ухожу.
    Короче большинство его компов несмотря на все усилия "железячника" увидели сегодня инет )))
    ПС: а mac'и он менял до конца дня - не понимал почему не прокатывает! ))) В 16:30 получил от него письмо, которое первый раз за всю переписку начиналось фразой "Добрый день..." О-о
    Суть письма - что 3 ПК так и не вышли в инет (игрался mac`ами сволочь до последнего)))

    ...вот как так-то?! Что у человека вместо мозга? (((



  • Один вопрос сегодня появился только. Два компа в сети имеют странный mac О-о. Вот один из:
    0_1529925994367_Снимок экрана_2018-06-25_18-21-23.png
    Я добавил первые 12 цифр из mac'а в DHCP и оно его подцепило. И инет на машинах есть. Но эти длинные mac'и один фиг подцепляются (((
    Думал IP6 как-то влияет - отключил на этой машине протокол в принципе - не помогло.
    Гуру, это что такое? Как избавиться?



  • @werter Спасибо. Единственно, что так чуть сложнее для понимания.

    @Tolpa У железячника только две ошибки

    1. Лучше не перечить провайдеру, может выйти боком.
    2. Он не поставил фаервол в своей сети.

    Подумай, лучше о своих ошибках.

    Что до длинного MAC адреса, я такие видел после установки UBUNTU в виртуальной среде. Что является причиной такого длинного адреса, я ещё не разбирался.



  • @scodezan обе машины с Win`10. Ничего виртуального там нет



  • Добрый.
    Перезагрузите пф.
    Зы. Как вариант, ваш коллега изменил МАКи руками. Можно же глянуть что у него там.



  • @werter , смотрел. Руками ничего не делалось. У меня три таких девайса и все ноуты О-о
    Нагуглил тему, но она не подтвердилась...



  • Причём, после реального мака какое-то "нереальное" окончание. Как пример - 06:aa:55:4a:00:00:00:00:00:00



  • @Tolpa Ещё вот такое бывает.



  • Посоветуйте коллеге иногда обновлять ОСи.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy