Варианты БАНА по…..



  • 1. Резервирование IP, добавление IP в SquidGuard. Тут ясно…. но долго, плюс "тратится" один адрес. Нехорошо.
    2. Бан по МАКу. Есть куда вписать? В сквиде не нашел. Есть идеи? Deny unknown clients не подходит(не все IP предопределены).

    Идея в том, чтобы клиент хотябы не получил доступ к инету.



  • Предполагаю 'инет'+'squid' имеется ввиду доступ по http. Сделайте авторизацию средствами squid и раздайте логины клиентам.



  • @dvserg:

    Сделайте авторизацию средствами squid и раздайте логины клиентам.

    Не выход. Клиентов постоянных только больше 100, плюс wifi фиг знает сколько еще. Задача просто не дать выйти компу в нет. Чисто по Бану МАКа никак? Повторюсь резервировать для ВСЕХ адреса не представляется возможным(только для некоторых, по которым делится доступ по разным уровням guard`ом).



  • Фильтр PF пока не умеет в обычном режиме работать с MAC.
    CaptivePortal имеет только опцию разрешения по MAC.
    В итоге - блокировать по MAC правилами файрвола не получится.

    Есть возможность привязки IP/MAC в DHCP + Static ARP , но для этого клиентам придется принудительно получать IP адреса с DHCP pfSense. Эту тему можно найти поиском по нашей ветке.



  • @dvserg:

    Фильтр PF пока не умеет в обычном режиме работать с MAC.
    CaptivePortal имеет только опцию разрешения по MAC.
    В итоге - блокировать по MAC правилами файрвола не получится.

    Есть возможность привязки IP/MAC в DHCP + Static ARP , но для этого клиентам придется принудительно получать IP адреса с DHCP pfSense. Эту тему можно найти поиском по нашей ветке.

    Мы просто говорим об одном и том же, просто разными словами. Привязка реализована, но не для всех. Всех НЕВОЗМОЖНО физически.
    Скорость "для всех кто не в списке" режется squid`ом.
    CaptivePortal тоже реализован. PassThrough с резкой скорости ап|даун работает(заменяю им limiter) но НЕ ДЛЯ ВСЕХ. Всех НЕВОЗМОЖНО физически.

    Хотелось что-то наподобие PassThrough - только ЗАПРЕЩАЮЩИЙ. Жаль что нет. Ведь реально проще же не вязать IP к МАКу, а просто забанить его(MAC)?



  • Про разделения с маками видел что-то в пакете ipguard-dev.



  • @lothan:

    Про разделения с маками видел что-то в пакете ipguard-dev.

    Да, есть такой пакет:

    Ipguard слушает в сети пакеты ARP. Все разрешенные MAC-IP пары, перечисленных в конфигурационные файлы.
    Если получена одина из пар MAC-IP, которая не указана в файле конфигурации, он будет посылать ARP ответ с настроенным фальшивым адресом.
    Это не допускается хост для правильной работы в сегменте локальной сети Ethernet.

    На сколько я понял из http://local.com.ua/forum/topic/19432-ipguard/ :
    для Вашего случая достаточно добавить пару MAC/IP -  00:00:00:00:00:00 / 0.0.0.0 для разрешения всея и всего, а так-же пары MAC/фейк_IP для бана. Фейк_IP - это один и тот-же заранее выбранный IP адрес (к примеру 192.168.1.13 - "не повезло"), для которого в файрволе создано запрещающее правило.


Log in to reply