Dhcp, ip по мак адресу



  • pfsense 1.2.2
    Хотел ограничить подключение, чтобы в сети были только ip которым сопоставлены мак адреса.
    Но у меня получается подключиться к сети, имея адрес котрые не входит ни в диапазон (10.0.42.255-10.0.42.255), ни в список Static ARP. То есть если я в свойствах подключения на самом локальном комьютере указываю вручную ip, то имею подключение. Почему?
    как правильно?





  • @Finder:

    pfsense 1.2.2
    Хотел ограничить подключение, чтобы в сети были только ip которым сопоставлены мак адреса.
    Но у меня получается подключиться к сети, имея адрес котрые не входит ни в диапазон (10.0.42.255-10.0.42.255), ни в список Static ARP.
    как правильно?

    Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)



  • @DasTieRR:

    Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)

    я так понял, pfsense и не должен что ли закрывать доступ не прописанным ip?
    тогда к чему нужны галочки  Deny unknown clients, Enable Static ARP entries(  Note: Only the machines listed below will be able to communicate with the firewall on this NIC.) ???



  • @Finder:

    @DasTieRR:

    Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)

    я так понял, pfsense и не должен что ли закрывать доступ не прописанным ip?
    тогда к чему нужны галочки  Deny unknown clients, Enable Static ARP entries(  Note: Only the machines listed below will be able to communicate with the firewall on this NIC.) ???

    Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.



  • @DasTieRR:

    Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.

    можешь на словах как именно это сделать или скрин скинуть?



  • @Finder:

    @DasTieRR:

    Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.

    можешь на словах как именно это сделать или скрин скинуть?

    1. Раздел firewall-alias
    название алиаса - как удобно
    забиваешь список IP, которым разрешён доступ
    2. в rules - soures выбираешь "single host или alias" и пишешь название своего alias доверенных IP



  • @Finder:

    @DasTieRR:

    Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)

    я так понял, pfsense и не должен что ли закрывать доступ не прописанным ip?
    тогда к чему нужны галочки  Deny unknown clients, Enable Static ARP entries(  Note: Only the machines listed below will be able to communicate with the firewall on this NIC.) ???

    Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.



  • @Evgeny:

    Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.

    И как же быть? На локальном компьютере в свойствах подключения вручную назначил ip, шлюз.  Компьютер без проблем ходит в интернет, локальную сеть, хотя ip нигде не прописан на pfsense и выставлены галочки  Deny unknown clients, Enable Static ARP entries. Есть предложения чтобы любой комп, имеющий MAC не из списка, никогда не смог быть в сети?



  • @Finder:

    @Evgeny:

    Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.

    И как же быть? На локальном компьютере в свойствах подключения вручную назначил ip, шлюз. Компьютер без проблем ходит в интернет, локальную сеть. Есть предложения чтобы любой комп, имеющий MAC не из списка, никогда не смог быть в сети?

    Как уже предложили, можно фильтровать по IP - разрешать только определённому листу. Однако, это не гарантирует полной защиты, так как если комп какого-либо пользователя (разрешённого) будет выключен, то его IP может (статически) взять любой другой компьютер.
    Если такая сильная обеспокоенность по поводу MAC-ов, то нужен свич, который может фильтровать по MAC, это не функция файрволла.



  • Finder
    Включите VPN/L2TP сервер в pfsense. Тогда нужные клиенты будут ходить по паролю и с шифрованием, а ненужные не смогут. Авторизация по макам и IP бестолкова по определению



  • @Evgeny:

    Как уже предложили, можно фильтровать по IP - разрешать только определённому листу. Однако, это не гарантирует полной защиты, так как если комп какого-либо пользователя (разрешённого) будет выключен, то его IP может (статически) взять любой другой компьютер.
    Если такая сильная обеспокоенность по поводу MAC-ов, то нужен свич, который может фильтровать по MAC, это не функция файрволла.

    я бы хотел еще раз уточнить:
    Это нормально для pfsense, что если  Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?

    Спасибо за ответы!



  • @Finder:

    Это нормально для pfsense, что если  Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?

    Абсолютно.



  • @Finder:

    Это нормально для pfsense, что если  Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?

    как уже говорилось, эти опции не запрещают выставление адреса вручную. Да и как вообще вы себе представляете такой запрет? И маки подменить - дело двух секунд, толку по макам фильтровать?



  • @bortmex:

    как уже говорилось, эти опции не запрещают выставление адреса вручную. Да и как вообще вы себе представляете такой запрет? И маки подменить - дело двух секунд, толку по макам фильтровать?

    Думал pfsense получает mac компа и смотрит его в своем списке mac-адресов. Если такой мак есть,и текущий ip компа соотвествует ip из таблицы, то комп имеет доступ к сети.

    New in pfSense 2.0 is the L2TP (Layer 2 Tunneling Protocol) VPN type, which will allow L2TP VPN clients to connect remotely. It can be found under VPN > L2TP. Так понял надо обновиться до версии 2.0


Log in to reply