Блокировка машин с вручную установленным IP
-
@scodezan, сегодня проверил - всё правильно в той статье сказано!
Устройства не прописанные в статике DHCP получают, локальную сеть видят, а интернет нет! )
И с этих машин невозможно зайти на веб-морду pfsense!
Спасибо большое! -
Посдкажите в чём отличие привязки MAC-IP и ARP Table Static Entry ?
-
DHCP Static Mappings for this interface позволяет указать предпочитаемый IP адрес для конкретного MAC адреса.
ARP Table Static Entry настраивает фаервол так чтобы трафик разрешался только если соблюдается вышеупомянутое предпочтение.
-
ARP Table Static Entry настраивает фаервол так чтобы трафик разрешался только если соблюдается вышеупомянутое предпочтение.
Нет. Эта галка создает жесткую связку IP+MAC в ARP таблице пф.
Даже если откл. dhcp на пф , то связка все равно будет работать. Пф будет считать, что этому MAC-у присвоен только такой ip и никакой другой.Ps.
Но в офисе несколько контор и по тем или иным причинам, я не имею организационного влияния на все.
Ох. В таком случае правильнее вообще физически (доп. сетевая) или на канальном уровне (L2-свитч) разделить сети. Иначе этот "коллега" может создать большие проблемы. Какие ? Напр., у него в сети заведется вирус-шифровальщик. Дальше рассказывать, что будет?
-
Короче ржака! )))
Неделю назад написал этому умнику, что статических IP ему больше не видать и срок до понедельника переключить всех на динамические... Копию письма отправил его боссу.
Смотрю никаких подвижек нет. В пятницу при свидетелях босса предупредил, что в понедельник, в связи с невыполнением требований, у его фирмы будут большие неприятности. Тот поржал... Сегодня ржал Я! )))
Сегодня поставил галку Enable static ARP entries и начал всем привязывать IP.
Свои конторы запустил в инет на выходных. Постепенно запускаю в инет компы "железячника" - появились они в DHCP, я привязал...
...Вдруг бросается в глаза, что в столбце hostname в DHCP Leases два компа с именем Kassa ! Как так-то О-о
Начинаю сравнивать и понимаю что mac'и у них отличаются на единицу - "железячник" решил сменить mac-адрес и типа обмануть "систему" )))
Я по невнимательности на оба mac'а выдал по IP ))) Я тут же нашёл всех "близнецов" и удалил нафиг, чтоб не разбираться кто-есть-who.
В 11:00 прибежал босс "железячника". Говорит "найди с ним общий язык, подскажи... - у меня офис не работает"! Я спустился - во-первых у тех кто догадался перезагрузиться (единицы) инет есть (получили новый IP). У остальных - нет.
Я этому клоуну отбившемуся от труппы говорю - "провод выдерни и вставь" (чтоб DHCP с новым IP подцепило). Вижу мокрый весь, замученный, смотрит с надеждой, но не верит. Добавляю - "Не на 220 провод, а сетевой!" ...и ухожу.
Короче большинство его компов несмотря на все усилия "железячника" увидели сегодня инет )))
ПС: а mac'и он менял до конца дня - не понимал почему не прокатывает! ))) В 16:30 получил от него письмо, которое первый раз за всю переписку начиналось фразой "Добрый день..." О-о
Суть письма - что 3 ПК так и не вышли в инет (игрался mac`ами сволочь до последнего)))...вот как так-то?! Что у человека вместо мозга? (((
-
Один вопрос сегодня появился только. Два компа в сети имеют странный mac О-о. Вот один из:
Я добавил первые 12 цифр из mac'а в DHCP и оно его подцепило. И инет на машинах есть. Но эти длинные mac'и один фиг подцепляются (((
Думал IP6 как-то влияет - отключил на этой машине протокол в принципе - не помогло.
Гуру, это что такое? Как избавиться? -
@werter Спасибо. Единственно, что так чуть сложнее для понимания.
@Tolpa У железячника только две ошибки
- Лучше не перечить провайдеру, может выйти боком.
- Он не поставил фаервол в своей сети.
Подумай, лучше о своих ошибках.
Что до длинного MAC адреса, я такие видел после установки UBUNTU в виртуальной среде. Что является причиной такого длинного адреса, я ещё не разбирался.
-
@scodezan обе машины с Win`10. Ничего виртуального там нет
-
Добрый.
Перезагрузите пф.
Зы. Как вариант, ваш коллега изменил МАКи руками. Можно же глянуть что у него там. -
-
Причём, после реального мака какое-то "нереальное" окончание. Как пример - 06:aa:55:4a:00:00:00:00:00:00
-
-
Посоветуйте коллеге иногда обновлять ОСи.
-
@scodezan там Win`10
-
@werter ноуты эти не у "коллеги", у меня (
лицензионная винда и все обновления как полагается... -
@tolpa тогда принеси сюда решение.
Из того что я нашёл в интернете:
а. Всё это следствие того что dhcp сервер не поддерживает option 61 или8182.
б. Источники "кривых" пакетов могут быть- некорректно настроенные коммутаторы (включен dhcp relay на каком-либо порте)
- виртуальная машины (с установленным маршрутизатором)
- кривые драйвера(софт)
- @tolpa, впиши свой вариант.
-
@scodezan ,
а. pfsense 2.4.3 не поддерживает option 61 и 81?
б.:
1 - посмотрю
2 - их нет
3 - запросто для microsoft!!! (
4 - ok! найду - впишу ;) -
Про pfsense 2.4.3 не знаю, у меня пока её нет.
-
Добрый.
Option 61:
Win 10 - http://vmind.ru/2018/02/01/dhcp-option-61-clientid-windows10/
Для debian-подобных http://mikrotik-ukraine.blogspot.com/2015/11/clientid-dhcp-option-61.htmlИ https://www.netgate.com/docs/pfsense/dhcp/dhcp-server.html
For more information on DHCP option numbers and types, see http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml#options and https://www.freebsd.org/cgi/man.cgi?query=dhcp-options&sektion=5
Option 81:
Option 81 - Client FQDN - fqdn option space - N/A - sent by client regarding DDNS update.
И что должно быть на dhcp сервере при этом http://www.ipamworldwide.com/ipam/fqdn-option.html
https://www.petri.com/forums/forum/server-operating-systems/windows-server-2000-2003-2003-r2/4340-dhcp-option-81
Option 81 allows for dynamic updates of DNS records.
В настр. DHCP пф есть опция Dynamic DNS
Хор. офиц. видео по работе с DHCP на пф. Для общего развития https://www.youtube.com/watch?v=KERcR_le_eA
P.s. А ведь оч. интересная тема оказалась. Спасибо, что подняли.
-
Упс... Судя по этим ссылкам я имел ввиду dhcp option 82 а не 81.
