Блокировка машин с вручную установленным IP
-
Тут мы две галки затронули с Enable Static ARP entries адреса раздаются, но для получения доступа нужно делать привязку MAC-IP в DHCP leases.
-
@scodezan, поясни подробнее пожалуйста?
-
@tolpa я давал ссылку выше там это разжёвано.
-
хм... проверю завтра и отпишусь
-
Блин, фигня какая-то.
Под динамические IP был выделен диапазон от 100 до 254.
Начал переносить динамику в статику - адресу 192.168.0.224 даю статику 192.168.0.151. Применяю изменения - через некоторое время 192.168.0.224 опять появляется. Причём стоит как offline и active (((
Изменил время выдачи аренды на 1 минуту - не помогло (((
Что пошло не так? ( -
@oleg1969 да. Забыл написать что диапазон предварительно изменил на 200-254
-
Наверное надо нажать справа на корзинку (Delete lease), чтобы удалить из DHCP сервера информацию по этому компу.
-
@dave-opc до этого я догадался )))
не помогло... почти моментально повляется снова -
А в разделе Diagnostic - ARP table этой машины нет в списке?
-
@dave-opc щас посмотрел. Щас нет. Вчера - хз была ли (
-
А каким образом добавили static IP? через белый "плюсик" (Add static mapping) в разделе DHCP leases?
-
@dave-opc да. Это некорректно?
-
Это корректно.
- Попробуйте отключить сетевую карту на компьютере (которому задаете статичный IP).
- Удалите в DHCP lease старый IP, если он там есть.
- Включите сетевую на компьютере.
Если mac адрес правильный, и на компе стоит получение IPv4 по DHCP, то должен получить статичный IP
-
@dave-opc звучит логично. На практике нереально или крайне нежелательно - речь о парке примерно в 150 машин (((( я не набегаюсь (
ну и перенос хотел сделать завтра (в воскресенье), чтоб люди пришли и опа... -
А пробовали сделать рестарт DHCP сервиса?
По идее, чтобы избежать бегания, надо прописать заранее все mac адреса в статичные IP, чтобы при включении они сразу получили нужный IP адрес.
И еще, вы уверены, что IP на машинах получают по DHCP?
-
@dave-opc, рестарт DHCP делал. Делал после прописывания статичного IP.
А вот получает ли та конкретная машина IP по DHCP - вот тут я не подумал. "Железячник" из первого моего поста мог выставить IP и вручную! (((
Похоже в этом суть - я об этом не подумал, хотя всё на поверхности (((
Спасибо!!! Покурю этот вопрос... ( -
@scodezan, сегодня проверил - всё правильно в той статье сказано!
Устройства не прописанные в статике DHCP получают, локальную сеть видят, а интернет нет! )
И с этих машин невозможно зайти на веб-морду pfsense!
Спасибо большое! -
Посдкажите в чём отличие привязки MAC-IP и ARP Table Static Entry ?
-
DHCP Static Mappings for this interface позволяет указать предпочитаемый IP адрес для конкретного MAC адреса.
ARP Table Static Entry настраивает фаервол так чтобы трафик разрешался только если соблюдается вышеупомянутое предпочтение.
-
ARP Table Static Entry настраивает фаервол так чтобы трафик разрешался только если соблюдается вышеупомянутое предпочтение.
Нет. Эта галка создает жесткую связку IP+MAC в ARP таблице пф.
Даже если откл. dhcp на пф , то связка все равно будет работать. Пф будет считать, что этому MAC-у присвоен только такой ip и никакой другой.Ps.
Но в офисе несколько контор и по тем или иным причинам, я не имею организационного влияния на все.
Ох. В таком случае правильнее вообще физически (доп. сетевая) или на канальном уровне (L2-свитч) разделить сети. Иначе этот "коллега" может создать большие проблемы. Какие ? Напр., у него в сети заведется вирус-шифровальщик. Дальше рассказывать, что будет?
