Prohibir el uso de cierta IP a otras MAC's



  • Buenos días, necesito saber como hacer para asignarle a cada IP una Mac, de manera que no puedan acceder desde otra máquina, con esa IP. Para evitar por ejemplo, que nadie use una ip de administrador, cuando la pc de dicho administrador está apagada. Estoy consiente de que la mac se puede cambiar a antojo, y podrían colocar la misma que la de la PC Admin, pero los usuarios están lejos de saber esto. Agradecería mucho su ayuda.



  • ¡Hola!

    Si empleas el DHCP que lleva pfSense puedes asignar IPs en función de las MAC. No hay que entrar las MAC a mano porque donde se ven las asignaciones (DHCP Leases) pueden ir capturándose y fijando las IPs.

    Una vez fijadas todas las IPS por MAC en el servidor DHCP marca las casillas:

    Deny unknown clients:
    If this is checked, only the clients defined below will get DHCP leases from this server.

    Enable Static ARP entries:
    Note: Only the machines listed below will be able to communicate with the firewall on this NIC.

    Tienes que meter en la lista incluso las máquinas que no vayan por DHCP … De lo contrario no podrás comunicar con pfSense.

    Saludos,

    Josep Pujadas



  • Muchas gracias por la pronta respuesta, pero no uso DHCP, sino IP fijas. ¿Tenés idea cómo puedo proceder?



  • ¡Hola!

    Pasar a DHCP te permitirá muchas cosas … Yo también era reacio a hacerlo pero cuando ví que podía fijar las IPs de cada máquina con el DHCP de pfSense ...

    Si empleas DHCP tienes más posibilidades a la hora de organizar tu red. Asignas los DNS, WINS ... desde el DHCP, puedes cambiar rangos de IPs ...

    También podrías emplear DHCP tal como está tu red, metiendo a mano las MAC en la tabla, para poder emplear el ARP estático. Pero puede costarte más porque tendrás que meter todas las MAC "a mano".

    Saludos,

    Josep Pujadas



  • en el DHCP server escribes la relacion de IPs estaticas que quieras que tengan acceso al servidor, ademas de tener un grupo de IPs dinamicas dentro de un rango. No creas que es un simple Servidor de DHCP



  • y como seria el caso de las ip detras de un Ap cliente? pq aparte de tener una ip el AP tambien ay ip de las computadoas detras del AP cliente.



  • Ese es el problema que podrias tener.. me gustaria que el pfsense pueda tener amarre de mac e ip en el mismo DHCP server  :(, la tiene pero solo para una sola maquina es decir si tienes un AP y atras del ap cliente varias maquinas lo que va a pasar es que tendras varias IPs con el mismo MAC osea el MAC del APcliente y no podras hacer nada porque esta opcion no la tiene el DHCP server  >:(. Ahora no te vayas triste jaja  ;D la solucion mas facil es tener un Portal Cautivo, el portal te amarra la mac e ip independientemente del DHCP server, una vez que alguien se autentica por el portal el portal realiza una tabla con las mac y amarra la ip y tambien el usuario todo, no hay nada mas que configurar el portal cautivo y que tus usuarios se autentiquen por ella  ;).



  • el unico problema rojocesar es que igual uno puede cambiar la ip con el portal cautive



  • Miralo asi.. tu le das a cada host un usuario y su respectiva contraseña, la persona se autentica por el portal, el portal lee la mac y el ip que le corresponde, lo pone en su tabla y amarra a la MAC y a la IP de quien se ha autenticado, y nadie puede usarlo. Ahora es cierto que tu me indiques que esta persona puede cambiar el IP pero solo podra acceder a una sola conexion (con la configuracion en el grafico)
    Ahora si no estas satisfecho aun hay posibilidades, la verdad es que a mi gustaria que exista una tabla de ARP se los indique a los desarrolladores del pFsense 2.0 pero con el portal ya soluciono esto, porque puedo ver quien esta cambiando la IP porque usa su usuario y puedo comunicarme con esta persona, ya que administro una red.



  • ;)claro que si rojo    ;D lo unico espero es que llegue muy luego el 2.0 que me va a cambiar la vida



  • Muchas gracias a todos por su aporte, mañana mismo pruebo configurando el DHCP server y les comento como me fue. Que bueno es que haya un foro tan solidario y competente. Hasta luego




Log in to reply