¿Cómo evitar que usuarios se asignen manualmente su IP?
-
hay ya me pillas yo llevo solo unos dias usando pfsense.
a ver si bellera sabe algo de eso.
pero pienso que lo mejor es lo que te he dicho de la 3 tarjetas y le creas una reglas para dejar pasar solo lo que venga de su subred y aunque cambien la ip el pfsense no les dejara salir.
esto solo es una idea que no se si funcionara, espero que bellera lo confirme.
-
habilita las opcines deny unknow clients y enable static arp entries en tu dhcp server, en caso de que no tuvieras un AD, en mi caso esto lo realizo por medio de politicas
leoalfa09 os contestó con las únicas opciones posibles. O controlador de dominio (si las estaciones son Windows) o DHCP estático "cerrado" con pfSense.
Hace un DHCP estástico "cerrado" tampoco es complicado, porque pfSense te permite capturar fácilmente las MAC a partir de los DHCP Leases.
-
pero yo creo, con todos mis respectos bellera, que estas en las mismas con el dchp cerrado porque si un usuario asigna su ip manualmente dentro del rango bueno tendria acceso full.
¿No seria asi?
yo defiendo mas mi idea de 3 interfaces. ::) yo porlo menos lo haria asi.
-
el problema con las tres interfaces y corrijanme si me equivoco, es que el squid se aplica a una interfaz, por ejemplo lan, al agregar una opt1 no tendrias filtraje en esta interfaz..
Por otro lado pensando en una interfaz extra, tus usarios tambien se podrian asignar ips de la nueva interfa, si conocieran el rango..
Algo que estuve pensando era que una posibilidad es en tu interfaz lan solo permitas que las macs de los gerentes sean capaces de recibir dhcp, habilitas las opciones deny unknow clients y configuras todas las demas pcs con ipstatica, configurando en el squid como ips que no pasan por el proxy las de los gerentes osea sin bloqueos…
-
Si el DHCP se cierra correctamente las IPs son en función de la MAC y no funciona la asignación manual.
Lo de las tres interfases es "otra cosa". Evidentemente, troceando la red se aumenta la seguridad. Ese fue justamente el principal motivo que me impulsó a emplear pfSense, separar mis usuarios: profesorado, alumnos y WiFi, tal como explico en el tutorial, www.bellera.cat/josep/pfsense/indice.html
-
Se que alguna vez lei algo acerca de este tipo de problema, no recuerdo como es q se llama para hacer este tipo de restricciones, pero es lo que utilizan los ISP para que por ejemplo yo conecte mi modem y al obtener mi direccion ip y todo esto, cuando lo configuro manualmente (asi coloque exactamente los mismos parametros) no funciona y no navego… Necesariamente para tener acceso tiene que ser el proveedor de internet que me de los parametros y asi logro el acceso...
A esto es lo que te refieres con dhcp cerrado? si @bellera:
Si el DHCP se cierra correctamente las IPs son en función de la MAC y no funciona la asignación manual.
Osea pq si es asi podria dejar mi clave wifi abierta y ningun usuario con ip configurada manualmente deberia tener acceso a la red.
Si logro conseguir como se llama a lo que hago referencia lo posteo a ver si alguno tiene idea de como hacerlo funcionar en pfsense.
Saludos.-
-
Leyendo un poco creo que una solucion podria ser instalar el squid en un equipo aparte que no sea pfsense(recordemos que el squid de pfsense tiene sus limitantes) y ya en el squid en tu otro equipo podrias realizar el filtrado por mac no tendiras problema con ese tema.
Busca en google por squid-arp
Suerte!!!!! -
que coloque mas tarjetas de red y punto.
-
Si tal y como dices, es un trabajo de hacer la instalación y fuera, creo que lo más sencillo para los que se queden, es tenerlo configurado en diferentes segmentos. Nadie podrá entrar en la interface de los "superjefes" ya que tan solo estarán conectadas las rosetas pertinentes a esa interface, los demás sea por estática o DHCP estarán limitados por las restricciones de la otra interface.
Saludos.
-
el squid no asigna ip ni mac
en wifi para poder asignar una ip fija la unica foma es hacer autenticacion con wpa o wap2 (seguridad) por un radius pagado (nose si los free los trae)