Как ограничить,разрешить выход в интернеm 



  • Задача такая:
    DHCP раздаёт всем сотрудникам IP адреса, но по умолчанию выход в интернет возможен только "избранным" компьютерам. Т.е. по умолчанию никому нельзя, но списку MAC адресов можно.
    Возможно ли такое реализовать визуально?



  • @Zhekator:

    Задача такая:
    DHCP раздаёт всем сотрудникам IP адреса, но по умолчанию выход в интернет возможен только "избранным" компьютерам. Т.е. по умолчанию никому нельзя, но списку MAC адресов можно.
    Возможно ли такое реализовать визуально?

    firewall и прописывай там правила кому можно кому нет



  • @zar0ku1:

    firewall и прописывай там правила кому можно кому нет

    Существует простое решение? Как прописать правило по MAC адресу?



  • @Zhekator:

    Существует простое решение? Как прописать правило по MAC адресу?

    куда проще? нет по мак нельзя, по мак ты можешь умный свич поставить перед pfsense



  • @Zhekator:

    Существует простое решение? Как прописать правило по MAC адресу?

    1. По первому вопросу http://thin.kiev.ua/index.php?option=com_content&view=article&id=473:ippfsense&catid=50:pfsense&Itemid=81

    2. По маку - сделайте резервирование в ДХЦП и только этим IP раздайте интернет.

    3. В ДХЦП поставьте галочки:
    "Enable Static ARP entries"  и  "Deny unknown clients"
    Тогда только юзвери с зарезервированным IP будут выходить в инет.

    Тема обсуждалась тут
    http://forum.pfsense.org/index.php/topic,40316.15.html



  • @dr.gopher:

    По первому вопросу http://thin.kiev.ua/index.php?option=com_content&view=article&id=473:ippfsense&catid=50:pfsense&Itemid=81
    По маку - сделайте резервирование в ДХЦП и только этим IP раздайте интернет.

    1. зачем дублировать ответ про фаервол?
    2. мак подменяется за пару минут


  • @zar0ku1:

    1. зачем дублировать ответ про фаервол?

    Вы ответили, а я приложил доку в рисунках. :-)

    @zar0ku1:

    1. мак подменяется за пару минут

    С этим никто не спорит.



  • @dr.gopher:

    @Zhekator:

    Существует простое решение? Как прописать правило по MAC адресу?

    1. По первому вопросу http://thin.kiev.ua/index.php?option=com_content&view=article&id=473:ippfsense&catid=50:pfsense&Itemid=81

    2. По маку - сделайте резервирование в ДХЦП и только этим IP раздайте интернет.

    3. В ДХЦП поставьте галочки:
    "Enable Static ARP entries"   и  "Deny unknown clients"
    Тогда только юзвери с зарезервированным IP будут выходить в инет.

    Тема обсуждалась тут
    http://forum.pfsense.org/index.php/topic,40316.15.html

    Мне нужно, чтобы было разрешение в интернет исключительно по маку (По умолчанию никому нельзя,  разрешено только списку именно МАС, а не IP). Это позволит не пускать в интернет никого лишнего, даже с подменой МАКа или вручную вбитого чужого IP. У нас секретарша МАК меняет за 12 секунд, вбивая от балды 12 цифр в соответствующее поле  в настройках сетевой карты. Что уж говорить о гостях в комнате, где прямо из стены висит RJ-45 розетка.



  • @Zhekator:

    @dr.gopher:

    @Zhekator:

    Существует простое решение? Как прописать правило по MAC адресу?

    1. По первому вопросу http://thin.kiev.ua/index.php?option=com_content&view=article&id=473:ippfsense&catid=50:pfsense&Itemid=81

    2. По маку - сделайте резервирование в ДХЦП и только этим IP раздайте интернет.

    3. В ДХЦП поставьте галочки:
    "Enable Static ARP entries"   и  "Deny unknown clients"
    Тогда только юзвери с зарезервированным IP будут выходить в инет.

    Тема обсуждалась тут
    http://forum.pfsense.org/index.php/topic,40316.15.html

    Мне нужно, чтобы было разрешение в интернет исключительно по маку (По умолчанию никому нельзя,  разрешено только списку именно МАС, а не IP). Это позволит не пускать в интернет никого лишнего, даже с подменой МАКа или вручную вбитого чужого IP. У нас секретарша МАК меняет за 12 секунд, вбивая от балды 12 цифр в соответствующее поле  в настройках сетевой карты. Что уж говорить о гостях в комнате, где прямо из стены висит RJ-45 розетка.

    Порежьте правила учётки пользователя (чтоб не беспредельничала). Посмотрите групповые политики компа. Напишите скрипт установки IP netsh и т.д. (может и мака тоже, я не помню возможно ли это). Настройте авторизацию в сквиде. Трафикшейпером поставьте скорость доступа к инету 1кб/сек, всем кроме разрешённых IP…



  • Мне нужно, чтобы было разрешение в интернет исключительно по маку (По умолчанию никому нельзя,  разрешено только списку именно МАС, а не IP). Это позволит не пускать в интернет никого лишнего, даже с подменой МАКа или вручную вбитого чужого IP. У нас секретарша МАК меняет за 12 секунд, вбивая от балды 12 цифр в соответствующее поле  в настройках сетевой карты. Что уж говорить о гостях в комнате, где прямо из стены висит RJ-45 розетка.

    1. вариант
      Настройте DHCP на выдачу только зарезервированных по маку статических IP адресов.
      Deny unknown clients V
      Enable Static ARP entries V
      В файрволе разрешите выход в интернет только для указанных IP адресов.

    2. вариант
      Используйте возможности CaptivePortal  ( PassTrought MAC )


Log in to reply