Блокировка клиентов по MAC адресам
-
В целом я не преследую каких либо супер защит блокировка по MAC вполне подойдёт для среднестатистического пользователя. Я хочу чтобы система работала следующим образом:
1.На DHCP сервере прописываем диапазон например 192.168.1.100-192.168.1.150. Таким образом компьютерам где стоит автоматическая настройка будут автоматом присваиваться любой адрес из этого диапазона. Это сделано для того чтобы если кто то пришёл с ноутом смог вылезти в интернет на определённой скорости.
2.Прописываются адреса в связке IP+MAC c галкой Enable Static ARP entries. Это сделано для того чтобы все юзеры у которых стационарный комп были упорядоченны и я знал где кто находится. При смене IP вручную отличный от того который прописан в настройках DHCP сервера он будет блокироваться и в интернет не влезит. Но что если получится так что кто то сделает себе например адрес IP вручную….. таким образом компьютер который забит в DHCP сервере не сможет выдать адрес тому компьютеру который его должен получить. Придётся идти по компам и искать кто изменил IP.
3.Чтобы не происходило такого казуса как в пункте 2 хочется настроить VirtualIP таким образом чтобы при офлайне компьютера например с адресом 192.168.1.20 его адрес не смог забить другой компьютер то есть если я выставлю в своём компе 192.168.1.20 то на сервере должна происходить сверка MAC адресов и мне выдать сообщение что такой компьютер уже в сети есть. Но при включении того компьютера которому этот адрес предназначался система pfsense должна сверить опять же MAC адреса выключить VirtualIP и пропустить данный компьютер.
Реально ли это всё сделать на PFsense? -
Абстрактный вопрос: а что - реально ещё где-то ограничивают доступ к интернет на работе?
у меня сейчас на работе канал 256кбит/c на 30 машин, за 6500 рублей в месяц, конечно приходится ограничивать (и это у меня еще хороший канал)
В целом я не преследую каких либо супер защит блокировка по MAC вполне подойдёт для среднестатистического пользователя. Я хочу чтобы система работала следующим образом:
1.На DHCP сервере прописываем диапазон например 192.168.1.100-192.168.1.150. Таким образом компьютерам где стоит автоматическая настройка будут автоматом присваиваться любой адрес из этого диапазона. Это сделано для того чтобы если кто то пришёл с ноутом смог вылезти в интернет на определённой скорости.да
@MIHMIH:2.Прописываются адреса в связке IP+MAC c галкой Enable Static ARP entries. Это сделано для того чтобы все юзеры у которых стационарный комп были упорядоченны и я знал где кто находится. При смене IP вручную отличный от того который прописан в настройках DHCP сервера он будет блокироваться и в интернет не влезит. Но что если получится так что кто то сделает себе например адрес IP вручную….. таким образом компьютер который забит в DHCP сервере не сможет выдать адрес тому компьютеру который его должен получить. Придётся идти по компам и искать кто изменил IP.
да
@MIHMIH:3.Чтобы не происходило такого казуса как в пункте 2 хочется настроить VirtualIP таким образом чтобы при офлайне компьютера например с адресом 192.168.1.20 его адрес не смог забить другой компьютер то есть если я выставлю в своём компе 192.168.1.20 то на сервере должна происходить сверка MAC адресов и мне выдать сообщение что такой компьютер уже в сети есть. Но при включении того компьютера которому этот адрес предназначался система pfsense должна сверить опять же MAC адреса выключить VirtualIP и пропустить данный компьютер.
Реально ли это всё сделать на PFsense?это выполняется при условии 2 (при статика арпе его не пустит) и при условии отсутствия смены макадреса
-
это выполняется при условии 2 (при статика арпе его не пустит) и при условии отсутствия смены макадреса
Практика показывает что сервак не пропускает этот айпи НО!!! Тот юзер которому принадлежит этот айпи на самом деле тоже не может войти (высвечивается конфликт IP адресов) поэтому тут единственный способ резервировать как то айпи в сети сервером так чтобы его не заняли
-
Практика показывает что сервак не пропускает этот айпи НО!!! Тот юзер которому принадлежит этот айпи на самом деле тоже не может войти (высвечивается конфликт IP адресов) поэтому тут единственный способ резервировать как то айпи в сети сервером так чтобы его не заняли
проблема в операционной системе, а не в сервере, так ведет себя windows
-
проблема в операционной системе, а не в сервере, так ведет себя windows
То есть если я подключался бы через Линюх то он бы спокойно подрубился?
-
Для FreeBSD есть такой http://ipguard.deep.perm.ru/ - это, судя по описанию, то, что тебе нужно.. У меня на одной из рабочих машин постоянно крутится http://blog.kmint21.com/2008/03/12/arp-monitor/ он присвоение чужого IP хоть и не предотвращает, но позволяет отследить, кто балуется..
-
проблема в операционной системе, а не в сервере, так ведет себя windows
То есть если я подключался бы через Линюх то он бы спокойно подрубился?
линюх отберет айпи у винды даже не матюкнувшись, а фрюха отберет у всех
-
-
Механиз известен? так.. для общего образования…
проверь ;) проверялось опытным путем
windows xp pro, home (c серверными не пробовал, но говорят 2003 тоже)
linux ubuntuкак объясняется - не знаю, вероятно особенностью TCP протокола и уникальной генерацией (реализацией) последовательности пакетов разными ОС