Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    ¿Cómo evitar que usuarios se asignen manualmente su IP?

    Español
    9
    22
    13019
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • bellera
      bellera last edited by

      @lalo:

      POR FAVOR AYUDA! cómo evito que algunos usuarios establezcan su IP manualmente dentro del rango "permitidos" ??

      1 Reply Last reply Reply Quote 0
      • L
        lalo last edited by

        Ayuda!

        Necesito configurar 5 usuarios con acceso COMPLETO a internet y el resto solo acceso a gmail

        Hice lo siguiente:
        -Configuré DHCP Static Mapping para los 5 usuarios dándoles IP's dentro de 192.168.1.2 -> 192.168.1.20
        -Configuré DHCP dinámico en el rango 192.168.1.21 -> 192.168.1.254
        -Con SquidGuard dí acceso completo al rango 192.168.1.2 -> 192.168.1.20 y acceso limitado al resto

        Todo funciona perfectamente, pero si algún usuario configura su ip MANUALMENTE a 192.168.1.19 por ejemplo, entonces todo mi control de acceso se vuelve inútil =(

        Me es imposible hacer Static Mapping para todas las máquinas de la red, QUE PUEDO HACER???

        1 Reply Last reply Reply Quote 0
        • L
          leoalfa09 last edited by

          Si estas usando equipos con windows podrias por medio de politicas de Active Directory deshabilitar que los usuarios puedan cambiar este tipo de cosas.
          Ademas te recomendaria que uses dhcp leases para identificar tus equipos y saber quien es quien.

          1 Reply Last reply Reply Quote 0
          • L
            leoalfa09 last edited by

            habilita las opcines deny unknow clients y enable static arp entries en tu dhcp server, en caso de que no tuvieras un AD, en mi caso esto lo realizo por medio de politicas

            1 Reply Last reply Reply Quote 0
            • M
              mamuga last edited by

              Al momento de crear los usuarios,  puedes configurarlos como usuarios restringidos y no como administradores. De esa forma queda deshabilitada la opcion de configurar la ip o la hora y otras cosas más.

              1 Reply Last reply Reply Quote 0
              • L
                lalo last edited by

                Hay alguna forma de hacerlo sin tener que configurar TODAS las computadoras de la red?

                es decir.. únicamente configurar un static mapping para las 5 computadoras y darles acceso full
                y dejar que el resto tome sus direcciones del dhcp con acceso limitado.

                Hay usuarios muy mañosos que intentan configurar manualmente su IP para entrar dentro del rango de IP's con acceso full

                La opción de configurar CADA una de las computadoras que entran a la red es complicada

                Debe existir una forma…. de otro modo la seguridad que ofrece el filtro de contenidos por rango de IP sería muy fácilmente vulnerada

                1 Reply Last reply Reply Quote 0
                • L
                  leoalfa09 last edited by

                  Consulta tienes un Active Directory en tu red??

                  1 Reply Last reply Reply Quote 0
                  • D
                    dementekuatiko last edited by

                    ni no tienes AD solo dale permisos de usuarios limitados o simplemente usa gpedit.msc en cada equipo y le quitas la opcion de red. es mucho mas latoso pero es mandar la politica por el AD, o quitarle el permiso de administrador o configurar equipo por equipo

                    1 Reply Last reply Reply Quote 0
                    • L
                      leoalfa09 last edited by

                      Correcto como dice dementekuatiko seria mas laborioso tener que aplicar las restricciones equipo por equipo, pero en caso de no tener el AD lo tendrias que hacer de esta manera

                      1 Reply Last reply Reply Quote 0
                      • L
                        lalo last edited by

                        no, no tengo active directory.. estoy buscando una solución práctica, barata y que requiera mínimo mantenimiento
                        Usando PFsense

                        Escenario:

                        1. Una oficina quiere darle internet FULL a los directores (5)
                        2. Internet limitado a los empleados y visitantes (100+) por ejemplo solo gmail, hotmail y yahoo
                        3. Me pagarán por instalar, configurar e irme.. cero mantenimiento (o lo mínimo)
                        4. Algunos empleados saben que si configuran su IP pueden caer en el rango de internet FULL

                        Mi problema es que si uso la opción "deny unknown clients" en el DHCP la opción 2) requiere MUCHO mantenimiento
                        si no uso "deny unknown clients" caigo en el problema 4)

                        Quisiera bloquear por MAC u obligar a que algunas MAC con privilegios queden forzosamente ligados a su IP con privilegios

                        El firewall y SquidGuard únicamente me permite hacer filtro por IP, no es posible por MAC..

                        Qué se puede hacer?? alguien ha tenido este problema? cómo lo solucionó?

                        1 Reply Last reply Reply Quote 0
                        • G
                          gally last edited by

                          yo no soy quien para dar opiniones porque soy un neofito.

                          Pero no seria mejor tener tres redes: wan , lan con los 5 superjefes  :D y opt1 con los demas plebeyos.

                          Asi tendran diferentes redes y te sera mas facil controlarlos. pienso yo.

                          es solo una idea.

                          1 Reply Last reply Reply Quote 0
                          • L
                            lalo last edited by

                            bueno. tres tarjetas de red suena lógico. pero debe haber una forma de hacer que pfsense niegue el acceso a cualquiera que no tenga una dirección mac->ip  asignada por él

                            1 Reply Last reply Reply Quote 0
                            • G
                              gally last edited by

                              hay ya me pillas yo llevo solo unos dias usando pfsense.

                              a ver si bellera sabe algo de eso.

                              pero pienso que lo mejor es lo que te he dicho de la 3 tarjetas y le creas una reglas para dejar pasar solo lo que venga de su subred y aunque cambien la ip el pfsense no les dejara salir.

                              esto solo es una idea que no se si funcionara, espero que bellera lo confirme.

                              1 Reply Last reply Reply Quote 0
                              • bellera
                                bellera last edited by

                                @leoalfa09:

                                habilita las opcines deny unknow clients y enable static arp entries en tu dhcp server, en caso de que no tuvieras un AD, en mi caso esto lo realizo por medio de politicas

                                leoalfa09 os contestó con las únicas opciones posibles. O controlador de dominio (si las estaciones son Windows) o DHCP estático "cerrado" con pfSense.

                                Hace un DHCP estástico "cerrado" tampoco es complicado, porque pfSense te permite capturar fácilmente las MAC a partir de los DHCP Leases.

                                1 Reply Last reply Reply Quote 0
                                • G
                                  gally last edited by

                                  pero yo creo, con todos mis respectos bellera, que estas en las mismas con el dchp cerrado porque si un usuario asigna su ip manualmente dentro del rango bueno tendria acceso full.

                                  ¿No seria asi?

                                  yo defiendo mas mi idea de 3 interfaces.  ::) yo porlo menos lo haria asi.

                                  1 Reply Last reply Reply Quote 0
                                  • L
                                    leoalfa09 last edited by

                                    el problema con las tres interfaces y corrijanme si me equivoco, es que el squid se aplica a una interfaz, por ejemplo lan, al agregar una opt1 no tendrias filtraje en esta interfaz..

                                    Por otro lado pensando en una interfaz extra, tus usarios tambien se podrian asignar ips de la nueva interfa, si conocieran el rango..

                                    Algo que estuve pensando era que una posibilidad es en tu interfaz lan solo permitas que las macs de los gerentes sean capaces de recibir dhcp, habilitas las opciones deny unknow clients y configuras todas las demas pcs con ipstatica, configurando en el squid como ips que no pasan por el proxy las de los gerentes osea sin bloqueos…

                                    1 Reply Last reply Reply Quote 0
                                    • bellera
                                      bellera last edited by

                                      Si el DHCP se cierra correctamente las IPs son en función de la MAC y no funciona la asignación manual.

                                      Lo de las tres interfases es "otra cosa". Evidentemente, troceando la red se aumenta la seguridad. Ese fue justamente el principal motivo que me impulsó a emplear pfSense, separar mis usuarios: profesorado, alumnos y WiFi, tal como explico en el tutorial, www.bellera.cat/josep/pfsense/indice.html

                                      1 Reply Last reply Reply Quote 0
                                      • E
                                        ega last edited by

                                        Se que alguna vez lei algo acerca de este tipo de problema, no recuerdo como es q se llama para hacer este tipo de restricciones, pero es lo que utilizan los ISP para que por ejemplo yo conecte mi modem y al obtener mi direccion ip y todo esto, cuando lo configuro manualmente (asi coloque exactamente los mismos parametros) no funciona y no navego… Necesariamente para tener acceso tiene que ser el proveedor de internet que me de los parametros y asi logro el acceso...

                                        A esto es lo que te refieres con dhcp cerrado? si @bellera:

                                        Si el DHCP se cierra correctamente las IPs son en función de la MAC y no funciona la asignación manual.

                                        Osea pq si es asi podria dejar mi clave wifi abierta y ningun usuario con ip configurada manualmente deberia tener acceso a la red.

                                        Si logro conseguir como se llama a lo que hago referencia lo posteo a ver si alguno tiene idea de como hacerlo funcionar en pfsense.

                                        Saludos.-

                                        1 Reply Last reply Reply Quote 0
                                        • L
                                          leoalfa09 last edited by

                                          Leyendo un poco creo que una solucion podria ser instalar el squid en un equipo aparte que no sea pfsense(recordemos que el squid de pfsense tiene sus limitantes) y ya en el squid en tu otro equipo podrias realizar el filtrado por mac no tendiras problema con ese tema.

                                          Busca en google por squid-arp
                                          Suerte!!!!!

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            dementekuatiko last edited by

                                            que coloque mas tarjetas de red y punto.

                                            1 Reply Last reply Reply Quote 0
                                            • P
                                              pedro.dominguez last edited by

                                              Si tal y como dices, es un trabajo de hacer la instalación y fuera, creo que lo más sencillo para los que se queden, es tenerlo configurado en diferentes segmentos. Nadie podrá entrar en la interface de los "superjefes" ya que tan solo estarán conectadas las rosetas pertinentes a esa interface, los demás sea por estática o DHCP estarán limitados por las restricciones de la otra interface.

                                              Saludos.

                                              1 Reply Last reply Reply Quote 0
                                              • J
                                                jonmestev last edited by

                                                el squid no asigna ip ni mac

                                                en wifi para poder asignar una ip fija  la unica foma es hacer autenticacion con wpa o wap2 (seguridad) por un radius pagado  (nose si los free los trae)

                                                1 Reply Last reply Reply Quote 0
                                                • First post
                                                  Last post

                                                Products

                                                • Platform Overview
                                                • TNSR
                                                • pfSense
                                                • Appliances

                                                Services

                                                • Training
                                                • Professional Services

                                                Support

                                                • Subscription Plans
                                                • Contact Support
                                                • Product Lifecycle
                                                • Documentation

                                                News

                                                • Media Coverage
                                                • Press
                                                • Events

                                                Resources

                                                • Blog
                                                • FAQ
                                                • Find a Partner
                                                • Resource Library
                                                • Security Information

                                                Company

                                                • About Us
                                                • Careers
                                                • Partners
                                                • Contact Us
                                                • Legal
                                                Our Mission

                                                We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                                Subscribe to our Newsletter

                                                Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                                © 2021 Rubicon Communications, LLC | Privacy Policy