Bloqueio e Liberacao de macs no Maximum download size



  • ola, boa tarde

    tenho o PFSense versao 2.0-RELEASE e tenho uma duvida em relaçao a funçao Maximum download size, tenho varios endereços MAC's cadastrados para nao passar pela pagina do Captive Portal, porem quando limito o tamanho do download, estas maquinas tambem sao limitadas. Existe possibilidade de liberar estes macs e bloquear apenas as maquinas que eu selecionar, preciso liberar estas maquinas por mac devido a rede ser com IP dinamico e nela navega alguns tablets e smartphones.

    Agradeço desde ja pela ajuda



  • Você quer dizer IP dinâmico na LAN (DHCP)?
    Usa o Squid transparente ou não?



  • ola, bom dia

    na conexao LAN o type esta Estatico e WAN esta DHCP pois uso velox como serviço, em Proxy server: General settings habilitei o proxy transparente e o DHCP Server esta ativado com range de final 10 ate 254. No captive portal cadastrei alguns mac's para nao precisar passar pela pagina de termos de aceite ja que eu distribuo o sinal gratuito pela cidade com limite de 30 minutos em cada conexao. Quando cadastro o mac os pc's nao possuem esta limitaçao, porem o limiter para download fica ativo para a rede toda e estes pc's com os mac's cadastrados que na verdade teriam que ter navegaçao liberada sao limitados nos downloads tambem.

    como e um sinal liberado e nao tenho condiçoes de configurar endereço ip's preciso que sejam dinamicos atraves do DHCP. a opcao que encontrei de controlar foi atraves do mac pois alguns sao tlabets e smartphones.



  • Uma maneira de fazer isso:

    1- Fixe IPs em relação aos Macs que não terão limite de download. Digamos que sejam 20 clientes que não estarão sujeitos a limitação, ou seja, na faixa de final 20 até 39. Para isso cadastre os Macs e seu IPs em Services: DHCP server no final da página, conforme tabela nesse formato: MAC address IP address Hostname Description.

    2- Com a tabela criada e após verificar se os vínculos Mac-IP estão corretos, crie um Aliases com essa mesma faixa de IPs.

    3- Vá em Proxy server: General settings e na opção Bypass proxy for these source IPs, insira o nome do Aliases criado.

    Dessa forma a faixa de IPs acima não estarão usando o Proxy e, portanto, não terão o limite estabelecido para download.



  • ola, boa tarde
    segui os procedimentos, funcionou em parte, como minha rede esta com o DHCP ativo, quando tento cadastrar o MAC junto ao IP no Services: DHCP: Edit static mapping me retorna a seguinte mensagem: The IP address must not be within the DHCP range for this interface. isso porque o DHCP esta ativo e o ip que eu estou cadastrando esta dentro do range, o PFSense amarra de forma automatica o IP da maquina uma vez conectada. Existe condiçoes de cadastrar de forma automatica sem a necessidade de colocar IP fixo na maquina para nao passar por este bloqueio? uma Coisa percebi que, se eu crio uma aliases e insiro os IP's nao preciso cadastrar o MAC junto ao IP no DHCP Server, porem fico vulneravel caso outra estaçao se conecte com este IP ja que o DHCP esta ativo.



  • @ewertton9:

    ola, boa tarde
    segui os procedimentos, funcionou em parte, como minha rede esta com o DHCP ativo, quando tento cadastrar o MAC junto ao IP no Services: DHCP: Edit static mapping me retorna a seguinte mensagem: The IP address must not be within the DHCP range for this interface. isso porque o DHCP esta ativo e o ip que eu estou cadastrando esta dentro do range, o PFSense amarra de forma automatica o IP da maquina uma vez conectada.

    Você tem que excluir a Range de IPs que serão vinculadas ao MAC daquelas que receberão IPs por DHCP.
    Vá em Services: DHCP server e na opção Range, coloque apenas a range que receberá IPs por DHCP. Com isso, você estará
    reservando uma faixa de IPs para outras finalidades especiais como a que você pretende.
    Achei que isso fosse de seu conhecimento.

    @ewertton9:

    Existe condiçoes de cadastrar de forma automatica sem a necessidade de colocar IP fixo na maquina para nao passar por este bloqueio? uma Coisa percebi que, se eu crio uma aliases e insiro os IP's nao preciso cadastrar o MAC junto ao IP no DHCP Server, porem fico vulneravel caso outra estaçao se conecte com este IP ja que o DHCP esta ativo.

    O que eu disse acima responde essa questão também. IPs fora da faixa especificada pelo DHCP são exclusivos para as finalidades de interesse do Administrador do firewall. Impossível pegar IPs da faixa exclusiva por DHCP.



  • Só para ilustrar o que coloquei no post acima.
    Segue um exemplo da Range em Services: DHCP server.




  • @johnnybe:

    @ewertton9:

    ola, boa tarde
    segui os procedimentos, funcionou em parte, como minha rede esta com o DHCP ativo, quando tento cadastrar o MAC junto ao IP no Services: DHCP: Edit static mapping me retorna a seguinte mensagem: The IP address must not be within the DHCP range for this interface. isso porque o DHCP esta ativo e o ip que eu estou cadastrando esta dentro do range, o PFSense amarra de forma automatica o IP da maquina uma vez conectada.

    Você tem que excluir a Range de IPs que serão vinculadas ao MAC daquelas que receberão IPs por DHCP.
    Vá em Services: DHCP server e na opção Range, coloque apenas a range que receberá IPs por DHCP. Com isso, você estará
    reservando uma faixa de IPs para outras finalidades especiais como a que você pretende.
    Achei que isso fosse de seu conhecimento.

    @ewertton9:

    Existe condiçoes de cadastrar de forma automatica sem a necessidade de colocar IP fixo na maquina para nao passar por este bloqueio? uma Coisa percebi que, se eu crio uma aliases e insiro os IP's nao preciso cadastrar o MAC junto ao IP no DHCP Server, porem fico vulneravel caso outra estaçao se conecte com este IP ja que o DHCP esta ativo.

    O que eu disse acima responde essa questão também. IPs fora da faixa especificada pelo DHCP são exclusivos para as finalidades de interesse do Administrador do firewall. Impossível pegar IPs da faixa exclusiva por DHCP.

    Mas o usuário pode colocar 1 IP da faixa "exclusiva" de forma manual, comprometendo o procedimento citado, certo?



  • certo. Tenta criar entradas estaticas de arp no seu pfsense e tente simular a fraude para ver se funciona.

    man do arp
    http://nixdoc.net/man-pages/FreeBSD/arp.8.html



  • @29185159:

    Mas o usuário pode colocar 1 IP da faixa "exclusiva" de forma manual, comprometendo o procedimento citado, certo?

    Pode, sim. Contudo ele precisa saber, ou adivinhar, qual a faixa reservada. E além de tudo, principalmente, saber o endereço do servidor DNS.
    Se ele não souber qual DNS configurar, não vai acessar nada, mesmo sabendo a faixa de IPs reservados.
    Concorda que isso dá um trabalho razoável a quem não conhece redes?

    De qualquer forma, não é bom subestimar o usuário:
    Por isso, é melhor ter uma rede/subrede exclusiva para Gerência Administrativa e/ou Diretoria Corporativa.
    E também excluir qualquer acesso às configurações do pfSense para "os caras" acima.

    Já vi relatos de Diretores/Administradores/Donos de empresa que tiveram acesso ao pfSense e "acharam" que uma coisa ou outra não estava de acordo e… PUF!  ??? ::) :o


Log in to reply