Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Dhcp, ip по мак адресу

    Scheduled Pinned Locked Moved Russian
    14 Posts 4 Posters 7.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      Finder
      last edited by

      pfsense 1.2.2
      Хотел ограничить подключение, чтобы в сети были только ip которым сопоставлены мак адреса.
      Но у меня получается подключиться к сети, имея адрес котрые не входит ни в диапазон (10.0.42.255-10.0.42.255), ни в список Static ARP. То есть если я в свойствах подключения на самом локальном комьютере указываю вручную ip, то имею подключение. Почему?
      как правильно?
      1.JPG
      1.JPG_thumb
      2.JPG
      2.JPG_thumb

      1 Reply Last reply Reply Quote 0
      • D
        DasTieRR
        last edited by

        @Finder:

        pfsense 1.2.2
        Хотел ограничить подключение, чтобы в сети были только ip которым сопоставлены мак адреса.
        Но у меня получается подключиться к сети, имея адрес котрые не входит ни в диапазон (10.0.42.255-10.0.42.255), ни в список Static ARP.
        как правильно?

        Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)

        1 Reply Last reply Reply Quote 0
        • F
          Finder
          last edited by

          @DasTieRR:

          Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)

          я так понял, pfsense и не должен что ли закрывать доступ не прописанным ip?
          тогда к чему нужны галочки  Deny unknown clients, Enable Static ARP entries(  Note: Only the machines listed below will be able to communicate with the firewall on this NIC.) ???

          1 Reply Last reply Reply Quote 0
          • D
            DasTieRR
            last edited by

            @Finder:

            @DasTieRR:

            Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)

            я так понял, pfsense и не должен что ли закрывать доступ не прописанным ip?
            тогда к чему нужны галочки  Deny unknown clients, Enable Static ARP entries(  Note: Only the machines listed below will be able to communicate with the firewall on this NIC.) ???

            Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.

            1 Reply Last reply Reply Quote 0
            • F
              Finder
              last edited by

              @DasTieRR:

              Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.

              можешь на словах как именно это сделать или скрин скинуть?

              1 Reply Last reply Reply Quote 0
              • D
                DasTieRR
                last edited by

                @Finder:

                @DasTieRR:

                Я точно не могу сказать, нужно глянуть PfSense book. Просто через файер сработает точно.

                можешь на словах как именно это сделать или скрин скинуть?

                1. Раздел firewall-alias
                название алиаса - как удобно
                забиваешь список IP, которым разрешён доступ
                2. в rules - soures выбираешь "single host или alias" и пишешь название своего alias доверенных IP

                1 Reply Last reply Reply Quote 0
                • E
                  Eugene
                  last edited by

                  @Finder:

                  @DasTieRR:

                  Сделайте alias из доверенных ip и в файере разрешите только им доступ. (вкладка firewall-alias)

                  я так понял, pfsense и не должен что ли закрывать доступ не прописанным ip?
                  тогда к чему нужны галочки  Deny unknown clients, Enable Static ARP entries(  Note: Only the machines listed below will be able to communicate with the firewall on this NIC.) ???

                  Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.

                  http://ru.doc.pfsense.org

                  1 Reply Last reply Reply Quote 0
                  • F
                    Finder
                    last edited by

                    @Evgeny:

                    Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.

                    И как же быть? На локальном компьютере в свойствах подключения вручную назначил ip, шлюз.  Компьютер без проблем ходит в интернет, локальную сеть, хотя ip нигде не прописан на pfsense и выставлены галочки  Deny unknown clients, Enable Static ARP entries. Есть предложения чтобы любой комп, имеющий MAC не из списка, никогда не смог быть в сети?

                    1 Reply Last reply Reply Quote 0
                    • E
                      Eugene
                      last edited by

                      @Finder:

                      @Evgeny:

                      Это всё относится к DHCP серверу. Любой комп, имеющий MAC не из списка, никогда не получит IP от DHCP-сервера.

                      И как же быть? На локальном компьютере в свойствах подключения вручную назначил ip, шлюз. Компьютер без проблем ходит в интернет, локальную сеть. Есть предложения чтобы любой комп, имеющий MAC не из списка, никогда не смог быть в сети?

                      Как уже предложили, можно фильтровать по IP - разрешать только определённому листу. Однако, это не гарантирует полной защиты, так как если комп какого-либо пользователя (разрешённого) будет выключен, то его IP может (статически) взять любой другой компьютер.
                      Если такая сильная обеспокоенность по поводу MAC-ов, то нужен свич, который может фильтровать по MAC, это не функция файрволла.

                      http://ru.doc.pfsense.org

                      1 Reply Last reply Reply Quote 0
                      • B
                        bortmex
                        last edited by

                        Finder
                        Включите VPN/L2TP сервер в pfsense. Тогда нужные клиенты будут ходить по паролю и с шифрованием, а ненужные не смогут. Авторизация по макам и IP бестолкова по определению

                        1 Reply Last reply Reply Quote 0
                        • F
                          Finder
                          last edited by

                          @Evgeny:

                          Как уже предложили, можно фильтровать по IP - разрешать только определённому листу. Однако, это не гарантирует полной защиты, так как если комп какого-либо пользователя (разрешённого) будет выключен, то его IP может (статически) взять любой другой компьютер.
                          Если такая сильная обеспокоенность по поводу MAC-ов, то нужен свич, который может фильтровать по MAC, это не функция файрволла.

                          я бы хотел еще раз уточнить:
                          Это нормально для pfsense, что если  Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?

                          Спасибо за ответы!

                          1 Reply Last reply Reply Quote 0
                          • E
                            Eugene
                            last edited by

                            @Finder:

                            Это нормально для pfsense, что если  Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?

                            Абсолютно.

                            http://ru.doc.pfsense.org

                            1 Reply Last reply Reply Quote 0
                            • B
                              bortmex
                              last edited by

                              @Finder:

                              Это нормально для pfsense, что если  Deny unknown clients,Enable Static ARP entries включены, то к сети все равно можно подключиться, назначив ip вручную?

                              как уже говорилось, эти опции не запрещают выставление адреса вручную. Да и как вообще вы себе представляете такой запрет? И маки подменить - дело двух секунд, толку по макам фильтровать?

                              1 Reply Last reply Reply Quote 0
                              • F
                                Finder
                                last edited by

                                @bortmex:

                                как уже говорилось, эти опции не запрещают выставление адреса вручную. Да и как вообще вы себе представляете такой запрет? И маки подменить - дело двух секунд, толку по макам фильтровать?

                                Думал pfsense получает mac компа и смотрит его в своем списке mac-адресов. Если такой мак есть,и текущий ip компа соотвествует ip из таблицы, то комп имеет доступ к сети.

                                New in pfSense 2.0 is the L2TP (Layer 2 Tunneling Protocol) VPN type, which will allow L2TP VPN clients to connect remotely. It can be found under VPN > L2TP. Так понял надо обновиться до версии 2.0

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.