Фильтрация в firewall по МАС адресу



  • Возможно ли создать в файерволе правила фильтрации, основанные на МАС-адресах клиентов?



  • Можно включить dhcp на pf и жестко привязать МАС к IP и поставить галку на  Deny unknown clients.



  • @werter:

    Можно включить dhcp на pf и жестко привязать МАС к IP и поставить галку на  Deny unknown clients.

    На ручные адреса не повлияет.



  • @dvserg:

    @werter:

    Можно включить dhcp на pf и жестко привязать МАС к IP и поставить галку на  Deny unknown clients.

    На ручные адреса не повлияет.

    А кто про ручные говорит ? Убрать у всех вручную, оставить получение автоматом.



  • @werter:

    @dvserg:

    @werter:

    Можно включить dhcp на pf и жестко привязать МАС к IP и поставить галку на  Deny unknown clients.

    На ручные адреса не повлияет.

    А кто про ручные говорит ? Убрать у всех вручную, оставить получение автоматом.

    А в каких условиях это можно сделать? Если Вы админ офиса, то да. А если домовая сетка ?



  • @dvserg:

    @werter:

    @dvserg:

    @werter:

    Можно включить dhcp на pf и жестко привязать МАС к IP и поставить галку на  Deny unknown clients.

    На ручные адреса не повлияет.

    А кто про ручные говорит ? Убрать у всех вручную, оставить получение автоматом.

    А в каких условиях это можно сделать? Если Вы админ офиса, то да. А если домовая сетка ?

    А разве ТС сказал что он админ домосетки ? Если так - то и подход тогда другой. Изанчально дается или автоматически присваивается адрес, к-ый привязывается к МАС и к-ый пользователю запрещено менять, иначе доступ не только к Сети , но даже к локалке блокируется. Там одним pf-не обойдешься. Это уже "железные" решения ("умные" свитчи и т.д. )

    P.s. Защиту на pf можно организовать поднятием pppoe\pptp\l2tp - сервера. И выпускать в сеть через него. И пускай "умники" хоть до посинения свои адреса и МАС-и меняют ибо без логина и пароля не будет им ни "вконтахде", ни "одноглазников"  ни т.д ни т.п.

    P.s.s. Captive Portal опять же.



  • Вопрос, тоже решил найти вещь для ограничения, методом тыка нашел пунк
      Enable Static ARP entries
    Поставил галочку вписал ручками ip(который занят, но комп выключен) и он меня не пустил. Может это то что нужно. Получается мы ставим там галочку прописываем всех кого нужно, остальные ip блочим через фаервол.



  • @yragan:

    Вопрос, тоже решил найти вещь для ограничения, методом тыка нашел пунк
      Enable Static ARP entries
    Поставил галочку вписал ручками ip(который занят, но комп выключен) и он меня не пустил. Может это то что нужно. Получается мы ставим там галочку прописываем всех кого нужно, остальные ip блочим через фаервол.

    Тоже только что это понял . И ведь видел этот пункт  :'(

    http://shop.nativepc.ru/content/50-pfsense-21 :

    Флаг Enable Static ARP работает аналогично отказу неизвестным MAC адресам в получении аренды, но позволяет сделать ещё один шаг в направлении ограничения любых неизвестных машин при подключении их к pfSense. Это позволит ограничить потенциальных нарушителей и закрыть им обход DHCP.

    Замечание: Будьте осторожны при использовании статических ARP, гарантируйте, что все системы которые должны общаться с маршрутизатором перечислены в статическом списке перед активацией данной опции, особо это касается системы, используемой для подключения к WEB GUI.



  • DHCP находится НЕ на pf и повлиять на выдачу адресов невозможно.
    Фильтрация по МАС-у была бы для нас наиболее удобным способом, так как МАС-и меняются наиболее редко. Подобная функциональность имеется в программе Traffic Inspector, но текущая версия драйвера этой программы регулярно  "ложит" сервер, а последние изменения в политике поддержки авторов программы ничего кроме желания плюнуть не вызывают.
    Captive Portal не подходит, так как по моему разумению, требует от пользователей некоторых телодвижений типа захода на специальную страницу.
    Так возможно ли ограничивать пользователей именно по МАС-у?



  • Не в тему сказано но попробуйте UserGate там этот функционал есть. Ток легче сделать из pfsense DHCP сервер…



  • @Rezor666:

    Не в тему сказано но попробуйте UserGate там этот функционал есть. Ток легче сделать из pfsense DHCP сервер…

    Мы только купили неограниченную версию Traffic Inspector как разработчики умудрились изуродовать его драйвер. Купить еще и UserGate не дадут денег. Нужно обойтись одним pf. DHCP на него перенести пока нельзя (ну вот так надо). Может кто-то более уверенно владеющий английским языком сможет обратиться к разработчикам pf по поводу добавления такой функциональности? Беглый осмотр интернета показывает что вопрос фильтрации по МАС-у в файерволе pf возникает регулярно, а значит функция будет востребована. Кроме того за совсем небольшое время жизни этой ветки уже всплыло два названия коммерческих продуктов, которые это умеют, а мне всегда говорили что свободное ПО всегда отличается от коммерческого в сторону большей функциональной насыщенности! :)



  • @Lexuz:

    Кроме того за совсем небольшое время жизни этой ветки уже всплыло два названия коммерческих продуктов

    Ага, ток их функционал настолько убог по сравнению с pf что эта 1 фишка нечего не стоит. А цена на их коммерческие продукты не малая.



  • @Rezor666:

    Ага, ток их функционал настолько убог по сравнению с pf что эта 1 фишка нечего не стоит. А цена на их коммерческие продукты не малая.

    Ну вот для нас как раз эта одна фишка и решает проблему выбора. В свое время именно из-за нее были отданы деньги, те самые немалые.
    Как я понял стандартными средствами не обойтись?



  • А почему все таки не использовать Pass-through MAC из Captive portal.
    Для пользователей это будет абсолютно прозрачно (страницы авторизации не будет)
    А лучше конечно купить коммутаторы с привязкой mac к порту.

    Еще есть извращенная схема:
    1. На пф ставим Services: DHCP Relay
    2. На dhcp разрешаем пакеты только с ip пф. Но конкретный dhcp должен поддерживать возможность работы со статическим ip (помимо мультикаста).
    У меня так работает dhcpd под ubuntu, только пакеты релеит коммутатор третьего уровня. Еще так можно теги навешивать, чтобы сервер понимал с какого интерфейса пф пришел запрос.



  • @nomeron:

    А почему все таки не использовать Pass-through MAC из Captive portal.
    Для пользователей это будет абсолютно прозрачно (страницы авторизации не будет)…

    Я по незнанию считал что без страницы авторизации никак не обойтись. Можете разжевать подробно, для совсем неграмотных, как это делается?
    И как это будет выглядеть для пользователей? Сейчас им достаточно включить компьютер и у "избранных" компьютеров (с нужными МАС-ами) интернет уже есть. Будет точно так же при применении указанной Вами стратегии?



  • Делается это так:

    1. Включаем каптивный портал.
    2. Выбираем интерфейс LAN.
      2.5) Ставим Authentication как  Local User Manager / Vouchers.
    3. Жмем Save.
    4. На закладке Pass-through вводим MAC клиента(ов), описание и при необходимости лимиты скорости.

    Вот таким нехитрым путем мы получаем шлюз с фильтрацией по МАС-ам. :)



  • Делается это так:

    1. Включаем каптивный портал.
    2. Выбираем интерфейс LAN.
    3. Жмем Save.
    4. На закладке Pass-through вводим MAC клиента(ов), описание и при необходимости лимиты скорости.

    И после этого страницы авторизации для этих клиентов нет.
    При включенной галочке Authentication у всех остальных она отображается.
    Без аутентификации не пробовал



  • @nomeron:

    Делается это так:

    1. Включаем каптивный портал.
    2. Выбираем интерфейс LAN.
    3. Жмем Save.
    4. На закладке Pass-through вводим MAC клиента(ов), описание и при необходимости лимиты скорости.

    И после этого страницы авторизации для этих клиентов нет.
    При включенной галочке Authentication у всех остальных она отображается.
    Без аутентификации не пробовал

    И не будет , потому как :

    Adding MAC addresses as pass-through MACs allows them access through the captive portal automatically without being taken to the portal page.

    Так ТС и была необходима ТОЛЬКО фильтрация по МАС, т.е. внесен МАС в Pass-through - есть инет, не внесен - нет. Только и всего.



  • @nomeron:

    …При включенной галочке Authentication у всех остальных она отображается.
    Без аутентификации не пробовал

    Без аутентификации тоже отображается для всех, кого не в списке pass-through MACs, но им достаточно нажать "Продолжить" и они оказываются в интернете! :) Чтобы это предотвратить нужно установить аутентификацию например локал.



  • И еще внимание на адрес WAN обратите. К нему тоже вроде доступ остается в обход каптива при включенном  NAT (я по крайней мере вебку пф закрываю)


Log in to reply