Как ограничить,разрешить выход в интернеm

Zhekator

Задача такая:
DHCP раздаёт всем сотрудникам IP адреса, но по умолчанию выход в интернет возможен только "избранным" компьютерам. Т.е. по умолчанию никому нельзя, но списку MAC адресов можно.
Возможно ли такое реализовать визуально?

zar0ku1

@Zhekator:

Задача такая:
DHCP раздаёт всем сотрудникам IP адреса, но по умолчанию выход в интернет возможен только "избранным" компьютерам. Т.е. по умолчанию никому нельзя, но списку MAC адресов можно.
Возможно ли такое реализовать визуально?

firewall и прописывай там правила кому можно кому нет

Zhekator

@zar0ku1:

firewall и прописывай там правила кому можно кому нет

Существует простое решение? Как прописать правило по MAC адресу?

zar0ku1

@Zhekator:

Существует простое решение? Как прописать правило по MAC адресу?

куда проще? нет по мак нельзя, по мак ты можешь умный свич поставить перед pfsense

dr.gopher

@Zhekator:

Существует простое решение? Как прописать правило по MAC адресу?

1. По первому вопросу http://thin.kiev.ua/index.php?option=com_content&view=article&id=473:ippfsense&catid=50:pfsense&Itemid=81

2. По маку - сделайте резервирование в ДХЦП и только этим IP раздайте интернет.

3. В ДХЦП поставьте галочки:
"Enable Static ARP entries"  и  "Deny unknown clients"
Тогда только юзвери с зарезервированным IP будут выходить в инет.

Тема обсуждалась тут
http://forum.pfsense.org/index.php/topic,40316.15.html

zar0ku1

@dr.gopher:

По первому вопросу http://thin.kiev.ua/index.php?option=com_content&view=article&id=473:ippfsense&catid=50:pfsense&Itemid=81
По маку - сделайте резервирование в ДХЦП и только этим IP раздайте интернет.

1. зачем дублировать ответ про фаервол?
2. мак подменяется за пару минут

dr.gopher

@zar0ku1:

1. зачем дублировать ответ про фаервол?

Вы ответили, а я приложил доку в рисунках. :-)

@zar0ku1:

2. мак подменяется за пару минут

С этим никто не спорит.

Zhekator

@dr.gopher:

@Zhekator:

Существует простое решение? Как прописать правило по MAC адресу?

1. По первому вопросу http://thin.kiev.ua/index.php?option=com_content&view=article&id=473:ippfsense&catid=50:pfsense&Itemid=81

2. По маку - сделайте резервирование в ДХЦП и только этим IP раздайте интернет.

3. В ДХЦП поставьте галочки:
"Enable Static ARP entries"   и  "Deny unknown clients"
Тогда только юзвери с зарезервированным IP будут выходить в инет.

Тема обсуждалась тут
http://forum.pfsense.org/index.php/topic,40316.15.html

Мне нужно, чтобы было разрешение в интернет исключительно по маку (По умолчанию никому нельзя,  разрешено только списку именно МАС, а не IP). Это позволит не пускать в интернет никого лишнего, даже с подменой МАКа или вручную вбитого чужого IP. У нас секретарша МАК меняет за 12 секунд, вбивая от балды 12 цифр в соответствующее поле  в настройках сетевой карты. Что уж говорить о гостях в комнате, где прямо из стены висит RJ-45 розетка.

DasTieRR

@Zhekator:

@dr.gopher:

@Zhekator:

Существует простое решение? Как прописать правило по MAC адресу?

1. По первому вопросу http://thin.kiev.ua/index.php?option=com_content&view=article&id=473:ippfsense&catid=50:pfsense&Itemid=81

2. По маку - сделайте резервирование в ДХЦП и только этим IP раздайте интернет.

3. В ДХЦП поставьте галочки:
"Enable Static ARP entries"   и  "Deny unknown clients"
Тогда только юзвери с зарезервированным IP будут выходить в инет.

Тема обсуждалась тут
http://forum.pfsense.org/index.php/topic,40316.15.html

Мне нужно, чтобы было разрешение в интернет исключительно по маку (По умолчанию никому нельзя,  разрешено только списку именно МАС, а не IP). Это позволит не пускать в интернет никого лишнего, даже с подменой МАКа или вручную вбитого чужого IP. У нас секретарша МАК меняет за 12 секунд, вбивая от балды 12 цифр в соответствующее поле  в настройках сетевой карты. Что уж говорить о гостях в комнате, где прямо из стены висит RJ-45 розетка.

Порежьте правила учётки пользователя (чтоб не беспредельничала). Посмотрите групповые политики компа. Напишите скрипт установки IP netsh и т.д. (может и мака тоже, я не помню возможно ли это). Настройте авторизацию в сквиде. Трафикшейпером поставьте скорость доступа к инету 1кб/сек, всем кроме разрешённых IP…

dvserg

Мне нужно, чтобы было разрешение в интернет исключительно по маку (По умолчанию никому нельзя,  разрешено только списку именно МАС, а не IP). Это позволит не пускать в интернет никого лишнего, даже с подменой МАКа или вручную вбитого чужого IP. У нас секретарша МАК меняет за 12 секунд, вбивая от балды 12 цифр в соответствующее поле  в настройках сетевой карты. Что уж говорить о гостях в комнате, где прямо из стены висит RJ-45 розетка.

1. вариант
   Настройте DHCP на выдачу только зарезервированных по маку статических IP адресов.
   Deny unknown clients V
   Enable Static ARP entries V
   В файрволе разрешите выход в интернет только для указанных IP адресов.

2. вариант
   Используйте возможности CaptivePortal  ( PassTrought MAC )