Dhcp, ip по мак адресу
-
pfsense 1.2.2
Хотел ограничить подключение, чтобы в сети были только ip которым сопоставлены мак адреса.
Но у меня получается подключиться к сети, имея адрес котрые не входит ни в диапазон (10.0.42.255-10.0.42.255), ни в список Static ARP. То есть если я в свойствах подключения на самом локальном комьютере указываю вручную ip, то имею подключение. Почему?
как правильно?
-
pfsense 1.2.2
Хотел ограничить подключение, чтобы в сети были только ip которым сопоставлены мак адреса.
Но у меня получается подключиться к сети, имея адрес котрые не входит ни в диапазон (10.0.42.255-10.0.42.255), ни в список Static ARP.
как правильно?Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)
-
Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)
я так понял, pfsense и не должен что ли закрывать доступ не прописанным ip?
тогда к чему нужны галочки Deny unknown clients, Enable Static ARP entries( Note: Only the machines listed below will be able to communicate with the firewall on this NIC.) ??? -
Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)
я так понял, pfsense и не должен что ли закрывать доступ не прописанным ip?
тогда к чему нужны галочки Deny unknown clients, Enable Static ARP entries( Note: Only the machines listed below will be able to communicate with the firewall on this NIC.) ???Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.
-
Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.
можешь на словах как именно это сделать или скрин скинуть?
-
Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.
можешь на словах как именно это сделать или скрин скинуть?
1. Раздел firewall-alias
название алиаса - как удобно
забиваешь список IP, которым разрешён доступ
2. в rules - soures выбираешь "single host или alias" и пишешь название своего alias доверенных IP -
Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)
я так понял, pfsense и не должен что ли закрывать доступ не прописанным ip?
тогда к чему нужны галочки Deny unknown clients, Enable Static ARP entries( Note: Only the machines listed below will be able to communicate with the firewall on this NIC.) ???Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.
-
Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.
И как же быть? На локальном компьютере в свойствах подключения вручную назначил ip, шлюз. Компьютер без проблем ходит в интернет, локальную сеть, хотя ip нигде не прописан на pfsense и выставлены галочки Deny unknown clients, Enable Static ARP entries. Есть предложения чтобы любой комп, имеющий MAC не из списка, никогда не смог быть в сети?
-
Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.
И как же быть? На локальном компьютере в свойствах подключения вручную назначил ip, шлюз. Компьютер без проблем ходит в интернет, локальную сеть. Есть предложения чтобы любой комп, имеющий MAC не из списка, никогда не смог быть в сети?
Как уже предложили, можно фильтровать по IP - разрешать только определённому листу. Однако, это не гарантирует полной защиты, так как если комп какого-либо пользователя (разрешённого) будет выключен, то его IP может (статически) взять любой другой компьютер.
Если такая сильная обеспокоенность по поводу MAC-ов, то нужен свич, который может фильтровать по MAC, это не функция файрволла. -
Finder
Включите VPN/L2TP сервер в pfsense. Тогда нужные клиенты будут ходить по паролю и с шифрованием, а ненужные не смогут. Авторизация по макам и IP бестолкова по определению -
Как уже предложили, можно фильтровать по IP - разрешать только определённому листу. Однако, это не гарантирует полной защиты, так как если комп какого-либо пользователя (разрешённого) будет выключен, то его IP может (статически) взять любой другой компьютер.
Если такая сильная обеспокоенность по поводу MAC-ов, то нужен свич, который может фильтровать по MAC, это не функция файрволла.я бы хотел еще раз уточнить:
Это нормально для pfsense, что если Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?Спасибо за ответы!
-
Это нормально для pfsense, что если Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?
Абсолютно.
-
Это нормально для pfsense, что если Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?
как уже говорилось, эти опции не запрещают выставление адреса вручную. Да и как вообще вы себе представляете такой запрет? И маки подменить - дело двух секунд, толку по макам фильтровать?
-
как уже говорилось, эти опции не запрещают выставление адреса вручную. Да и как вообще вы себе представляете такой запрет? И маки подменить - дело двух секунд, толку по макам фильтровать?
Думал pfsense получает mac компа и смотрит его в своем списке mac-адресов. Если такой мак есть,и текущий ip компа соотвествует ip из таблицы, то комп имеет доступ к сети.
New in pfSense 2.0 is the L2TP (Layer 2 Tunneling Protocol) VPN type, which will allow L2TP VPN clients to connect remotely. It can be found under VPN > L2TP. Так понял надо обновиться до версии 2.0