Usuário derrubando proxy



  • Bom dia

    Amigos estou com um problema, tenho 3 redes em uma empresa com o pfsense fazendo DHCP relay e distribuindo os endereços para elas, acontece que uma dessas redes é uma DMZ onde eu tenho o proxy rodando, pois bem, nesta mesma rede tenho também o wireless, que praticamente qualquer pessoa acessa, um espertalhão na rede wireless descobriu que configurando o ip dele fixo com o ip do proxy ele conseguiria navegar com tudo liberado, mas ai fica derrubando o meu proxy, a questão é como eu posso fazer para o pfsense aceitar somente o meu proxy e nunca outra maquina, mesmo que esta maquina esteja com o mesmo ip do proxy? Seria por MAC? como? Já que MACs também podem ser clonados, haveria alguma outra alternativa?

    desde já muito obrigado.



  • @gpostiglioni:

    a questão é como eu posso fazer para o pfsense aceitar somente o meu proxy e nunca outra maquina, mesmo que esta maquina esteja com o mesmo ip do proxy? Seria por MAC? como? Já que MACs também podem ser clonados, haveria alguma outra alternativa?

    Você pode usar o ip guard para liberar comunicação apenas para ips/macs cadastrados ou colocar seu squid em outra rede(diferente das outras 3), impedindo o furto do ip por parte do espertão.



  • kkkkkk o cara coloca o mesmo ip do firewall e cada um que me aparece, e melhor você separar essa rede (as vezes fazer uma vlan não sei)!
    Ou usar o ipguard como  o marcelloc recomendeou!



  • Bom dia

    Hum galera valeu pelas dicas, por enquanto não tenho como criar outra rede, vou apenas usar o ipguard.

    Obrigado a Todos!!



  • @gpostiglioni:

    vou apenas usar o ipguard.

    Cuidado na hora de criar as regras no ipguard para não ficar sem acesso ao firewall.  ;)

    Não esqueça de fazer backup da configuração antes de começar.



  • Você também pode usar a opção do DHCP Server:

    Enable Static ARP entries
    Note: Only the machines listed below will be able to communicate with the firewall on this NIC.

    Assim, quem não estiver cadastrado com seu MAC, se quer consiguirá comunicação para com o firewall. Mas é óbvio que se o infeliz mudar o IP da máquina local colocando o mesmo endereço do firewall, vai causar problemas para a rede como um todo. Particularmente, no seu caso, pensaria em um PDC, de modo que os usuários não possam mexer nas confs. das suas estações!

    Simples assim! ;)

    Abraços!
    Jack



  • Hummmm também é uma boa ideia JackL!!! testarei também, mais uma vez obrigado a todos!!


Log in to reply