Gruppierung von MAC-Adressen?
-
Hallo Community,
wir suchen für unser Unternhmen eine Alternative zur alten Firewall Appliance/ Distribution, und wir sind beim Suchen auf pfSense 2.0 gestoßen, von dem wir hier sehr begeistert sind.
Allerdings hab ich etwas nicht gefunden.. nämlich eine Möglichkeit MAC-Adressen (in dem Fall Hosts) in Gruppen zusammen zufassen.
Jetzt habe ich im englischem Teil des Forums schon etwas darüber gelesen, was ich allerdings nicht so ganz nachvollziehen kann.Nun kann man in den Aliasen Hosts als IP-Adressen zusammenfassen, was schonmal ein guter Ansatz ist, nur ist einfacher sich eine IP-Adresse zu merken, als eine MAC.
MAC-Adressen an sich lassen sich als Alias nicht zusammenfassen; zumindest nicht im Format xx:xx:xx:xx:xx:xx. Trägt man aber xx-xx-xx-xx-xx-xx ein, wird die Eingabe akzeptiert.
Kann man das nicht so auch machen?
mfg
DocDOS -
Wozu würde das gebraucht?
Mir fällt jetzt so spontan kein einziger Ort ein an dem ein MAC-alias etwas bringen würde. -
Moin,
wir haben hier einen Bereich, der von LAN-seite (ich nenn' das jetzt mal "GRÜN") bis auf wenige Ausnahmen abgesichert sein soll.
es handelt sich hier um (noch) 6 PCs, die die Ausnahme bilden. Jetzt wäre es am Einfachsten eine Gruppe MAC-Adressen herzunehmen, um den Zugriff zu gestatten.
Ok, hier sind es nur 6 Computer.. man stelle sich vor, es würden ca 200 Geräte sein, die gruppiert in andere abgesicherte Subnetze rein sollten..
Je mehr Geräte es werden, umso unsinniger wird dann ein DHCP, weil eh alles dann feste IPs haben wird.
… und vom Sicherheitsstandpunkt ist eine MAC-Adresse schwerer zu merken, als eine IPv4 :-)
mfg
DocDOS -
Ich verstehe dein Anliegen zwar leider auch nicht genau, aber evtl hilft dir folgende Idee:
Du stellst im DHCP eine statische Zuordnung MAC-IP Adresse ein und aktivierst den Haken, dass nur eingetragene Hosts auf diesem Interface zugelassen werden.
Du kannst aber evtl. auch das CaptivePortal nutzen, einen "MAC-PASS-THROUGH" für deine 6 rechner einstellen und "simultaneous connections" deaktivieren.
Ansonsten würde es Sinn machen, einen VLAN fähigen Switch zu nutzen und die 6 PCs in dieses VLAN zu packen und alle andere in andere VLANs.
-
Ok, ich erklärs etwas anders:
WLAN.. 20 Clients (Notebooks, iPads, iPhones und Android-Geräte).. 4 AccessPoints… WLAN-Verschlüsselung WPA2
um den Zugriff ins Netz zu gestatten, müssen die Clients, bzw. die User dazu, ja das WLAN-Passwort kennen.. da es einfach ist, ein PW weiter zu geben (aus welchem Grund auch immer), hätte ich gerne sowas wie ein MAC-Adressfilter..
soweit so gut...
hat man wenige Geräte zu administrieren, ist das über die normale WebShell von pfSense ganz einfach zu machen..
Jetzt sind es aber 20... trägt an weitere in die Liste ein, braucht man soch um weiteres nicht mehr sprgen... die Rules bleiben übersichtlich..vergleicht das mit der Rechteverwaltung in einer Windows-Domäne... User ist in einer Gruppe. wobei die Gruppe zugriff auf bestimmte Dateien hat.. also auch der User in der Gruppe..
[edit:]
an VLAN hab ich auch schon geacht… aber der Aufwand unser Netzwerk komplett umzustricken ist mir eindeutig zu viel Aufwand
[/edit:]mfg
DocDOS -
Kannst du das nicht über die Aliase regeln?
-
Nope.. denn MAC-Aliase gibts nicht… nur IP-Aliase...
-
Dann legst Du im DHCP Reservierungen für die Rechner an, sodass diese immer die selbe IP bekommen. Dann klappts auch mit dem IP-Alias.