Доступ в локальную сеть только по Mac адресам



  • Товарищи в локальную сеть с AD на Windows 2003 и gateway PfSense хочу сделать доступ только по мак-адресам, наподобии того как в некоторых wi-fi роутерах есть например Trusted Station, и если мак-адрес не занесён в таблицу то доступа к сети нету.
    И именно к локальной сети, чтобы подключаяя компьютер в сетку пользователь получал чтонибудь на подобии Ограниченное подключение даже не смотря на то если сам правильно впишет ip адрес.
    Такое возможно замутить?

    Как я понимаю captive portal предоставляет подобную функцию только для выхода в интернет.



  • Только с использованием умных свичей, в которых можно на порты прописывать МАК адреса.



  • понятно (((

    А скажем блокирование определённых ip адресов в локальной сети, возможно?

    пс: кроме установки файрвола на каждом пк.



  • @Azot:

    понятно (((

    А скажем блокирование определённых ip адресов в локальной сети, возможно?

    пс: кроме установки файрвола на каждом пк.

    Какого рода блокирование?



  • Вот допустим я хочу разрешить работу в лок\сети только ip адресам интервала скажем 192.168.1.1-192.168.1.40, а те у кого 192.168.1.50 например не сможет даже пингануть любой другой пк в сети из указанного интервала.

    Просто в чем проблема, вчера одному чудику показалось что кто-то забрался к нему в компьютер, как это делается удалённым управлением через например Ideal Administrator, vnc и т.д. Было ли это на самом деле или нет я не знаю, шутить у нас в локалке я думаю никто так не будет, кроме меня, но я это использую тлько по работе. Вот и думаю предпринять какиенибудь типа меры.



  • @Azot:

    Вот допустим я хочу разрешить работу в лок\сети только ip адресам интервала скажем 192.168.1.1-192.168.1.40, а те у кого 192.168.1.50 например не сможет даже пингануть любой другой пк в сети из указанного интервала.

    Просто в чем проблема, вчера одному чудику показалось что кто-то забрался к нему в компьютер, как это делается удалённым управлением через например Ideal Administrator, vnc и т.д. Было ли это на самом деле или нет я не знаю, шутить у нас в локалке я думаю никто так не будет, кроме меня, но я это использую тлько по работе. Вот и думаю предпринять какиенибудь типа меры.

    См мои посты выше. Без умного свича Вы никак не сможете запретить левым IP работать в своей сети. Пакеты будут ходить внутри сети минуя файрвол. Можно запретить выход во внешнюю сеть или получение IP автоматом. Но запретить вручную прописывать вы не можете.

    Может быть где-то и существует софт, который умеет отслеживать такое в сети и отсылать компам "волшебные" пакеты 'этот IP занят'.. Но я такого не знаю.



  • 2 dvserg

    понятно!

    А допустим я могу купить управляемый свитч на 16 портов, воткнуть в один из его портов скажем такой же 16 портовый, но не управляемый, теоретически я ведь могу через управляемый контролировать те адреса, которые подключены через неуправлемый. Если конечно количество контролируемых адресов на управлемом не ограничено 16-ю, верно?



  • @Azot:

    2 dvserg

    понятно!

    А допустим я могу купить управляемый свитч на 16 портов, воткнуть в один из его портов скажем такой же 16 портовый, но не управляемый, теоретически я ведь могу через управляемый контролировать те адреса, которые подключены через неуправлемый. Если конечно количество контролируемых адресов на управлемом не ограничено 16-ю, верно?

    Вы можете контролировать по их МАК адресам только в пределах управляемого порта. То есть дальше управляемого порта сигнал не пойдет. А в пределах неуправляемого свича работать будет.



  • dvserg Спасибо!!!



  • Можно попробовать на уровне Vlan ов сделать, 1-49 1 влан остальные другой, как раз изолируешь одну группу от другой.



  • Делается с помощью VPN.


Locked