DHCP Server Mac-ip Eşleşmesini atlayan kullanıcılar



  • Arkadaşlar bütün kullanıcıların mac adresleri tek tek alınıp ip verilmiştir. Captiveportal+freeradius ayarlanmıştır. Paket olarak ta squid,squidguard,lightsquid ve cron kurulmuştur. Fakat kullanıcılardan artık tabiri caizse gına geldi. :) Mac adresini değiştirip girenden tutunda şifrsini paylaşan mı dersin. Neyse önce şunu sorayım; mac+ip+radius eşleşmesi yapmak mümkün müdür? Mac adresi kayıtlı olmayan kullanıcılar kayırlı kullanıcıların mac adreslerini alıp ağa bağlanıyorlar fakat internete çıkamıyorlardı, kullanıcı adı ve şifreleri olmadığı için. Fakat kullanıcı adı ve şifre paylaşımını büyük ihtimalle engelledim. Yapmak istediğim kullanıcı adı ve şifre ile ip numarasını birbirine bağlayabilir miyiz? 1. derecede yapmak istediğim bu.

    2. sorunum ise anlattığım gibi mac+ip eşleşmesini yaptım. "Deny unknown clients" seçeneğini işaretledim. Range aralığını da 192.168.10.10-192.168.10.10 yaptım. Fakat bugün lightsquid loglarını incelerken kayıtlı olmayan bir ip gördüm. Kayıtlı kullanıcılar 192.168.10.88 de bitiyor. Loglarda ise 192.168.10.103 numaralı bir ip gördüm. Böyle birşey mümkün müdür? Diye sormuyorum demek ki mümkün ama nasıl? :)
    Bu ip numarasının bağlandığı mac adresini görebilir miyiz?








  • @aydemir_07:

    Arkadaşlar bütün kullanıcıların mac adresleri tek tek alınıp ip verilmiştir. Captiveportal+freeradius ayarlanmıştır. Paket olarak ta squid,squidguard,lightsquid ve cron kurulmuştur. Fakat kullanıcılardan artık tabiri caizse gına geldi. :) Mac adresini değiştirip girenden tutunda şifrsini paylaşan mı dersin. Neyse önce şunu sorayım; mac+ip+radius eşleşmesi yapmak mümkün müdür? Mac adresi kayıtlı olmayan kullanıcılar kayırlı kullanıcıların mac adreslerini alıp ağa bağlanıyorlar fakat internete çıkamıyorlardı, kullanıcı adı ve şifreleri olmadığı için. Fakat kullanıcı adı ve şifre paylaşımını büyük ihtimalle engelledim. Yapmak istediğim kullanıcı adı ve şifre ile ip numarasını birbirine bağlayabilir miyiz? 1. derecede yapmak istediğim bu.

    2. sorunum ise anlattığım gibi mac+ip eşleşmesini yaptım. "Deny unknown clients" seçeneğini işaretledim. Range aralığını da 192.168.10.10-192.168.10.10 yaptım. Fakat bugün lightsquid loglarını incelerken kayıtlı olmayan bir ip gördüm. Kayıtlı kullanıcılar 192.168.10.88 de bitiyor. Loglarda ise 192.168.10.103 numaralı bir ip gördüm. Böyle birşey mümkün müdür? Diye sormuyorum demek ki mümkün ama nasıl? :)
    Bu ip numarasının bağlandığı mac adresini görebilir miyiz?

    Selam,

    Öncelikle ilk istediğiniz by default olarak uygun görünmemekte. Ekstra çözümleri araştırmak gerekli. Açıkladığınız senaryoya göre benim çözümüm nasıl olurdu.

    İlk sorunuz için;

    1. Mevcut yapıyı hiç değiştirmeden firewall > rules > LAN kuralını öncelikle disable ederdim. İzin verilen ip aralığı ya da cihazları için bir alias oluştururum. Sonra da bu Alias için gerekli izinleri verirdim. (pop3, smtp, web, vs)
    2. Captive portal üzerinde eş zamanlı oturum açmayı devre dışı bırakırdım. (Ola ki biri kullanıcı adı şifresini paylaşmasın diye büyük bir ihtimalle böyle yaptıgınızı düşünüyorum)
    3. Squidguard kurarak yine mevcut yapıya dokunmadan izinli olan kullanıcıların ip bilgilerini buraya girerek onlara tanımlama yapardım. (103 gibi kullanıcıları bertaraf etmek için. Gerçi firewal rule içinde halletmiştik tedbir tedbirdir mantığıyla)
    4. Ya da bunlara gerek kalmadan Layer2/Layer3 managed switchler bunu zaten yapıyorlar. Yapınızı lokasyonunuzu bilemiyorum kullanmış oldugunuz ürünleri de tahmin edemediğim için yapınızı L2/L3 switchlere taşırsanız port bazlı authentication yaparak bunu da freeradius ile ilişkilendirebilirsiniz. Sorununuz tamamen ortadan kalkıyor.

    İkinci sorunuz için;

    1. "Deny unknown clients" yapmanız sadece dhcp üzerinden ip almasını engellersiniz. Elle girilen ip adresine DHCP birşey yapamaz.
    2. 103 numaralı ip adresini loglarda görmenizin sebeplerinden biri de squid yapılandırmanızdaki 192.168.10.0/24 olmasıdır. Bunu yukarıdaki (firewal rules örneğindeki) gibi genele değil de özele indirgemelisiniz.
    3. Yukarıdaki ip adresinin mac adresini sanırım sadece ARP Table (Diagnostic > ARP Table) üzerinden erişebilirsiniz. Ya da bunu düzenli bir aralıkla mail ya da dosyaya da yazdırabilirsiniz. Forumda buna benzer örnekleri gördüm diye hatırlıyorum.

    Sevgilerle,
    SGTR



  • Cevabınız için teşekkür ederim. Bu işin zevkli olmasının sebebi de her defasında yeni bir şeyler öğreniyor olmak zaten. :)

    Yapım gayet basit zaten. Modem>pfsense>3 tane normal swich>60 civarında kullanıcı. Özel bir öğrenci yurdunu kontrol ediyorum da öğrencilerle uğraşmak gerçekten zormuş. :)

    Önerilerinizi uygulayıp sonuçları buradan yazarım.

    Tekrar teşekkür ederim.



  • @aydemir_07:

    Cevabınız için teşekkür ederim. Bu işin zevkli olmasının sebebi de her defasında yeni bir şeyler öğreniyor olmak zaten. :)

    Yapım gayet basit zaten. Modem>pfsense>3 tane normal swich>60 civarında kullanıcı. Özel bir öğrenci yurdunu kontrol ediyorum da öğrencilerle uğraşmak gerçekten zormuş. :)

    Önerilerinizi uygulayıp sonuçları buradan yazarım.

    Tekrar teşekkür ederim.

    Merhaba.

    Birsey sormak istiyorum. Ogrencilere verdiginiz kullanici adi nasil? Yani ogrenci adinin ilk harfi, soyadi veya ogrenci numarasi gibi. Size onerim kullanici adini ogrencinin T.C. Kimlik numarasini verin ayrica giris ekranina da 5651 nolu yasa geregi girisler kayit altina alınmaktadir bu konuda tum sorumluluk sahsiniza aittir gibi.



  • @Qbilay:

    Merhaba.

    Birsey sormak istiyorum. Ogrencilere verdiginiz kullanici adi nasil? Yani ogrenci adinin ilk harfi, soyadi veya ogrenci numarasi gibi. Size onerim kullanici adini ogrencinin T.C. Kimlik numarasini verin ayrica giris ekranina da 5651 nolu yasa geregi girisler kayit altina alınmaktadir bu konuda tum sorumluluk sahsiniza aittir gibi.

    Aslında söylediğiniz şekilde düşündüm fakat bu sefer de kimin ne zaman internette olduğunu görmek için mecbur TC Kimlik ile ismini eşleştirmek gerekir diye düşündüm. Ben de her kullanıcının isim ve soyismini kullandım, bana daha kullanışlı geldi. Ayrıca forumdaki Captive Portal temasını yükleyince 5651 nolu yasa ile ilgili bilgi giriş ekranına geldi zaten. Ufak bir değişiklikle kendime göre dizayn ettim. Tavsiye ederim. :)



  • dhcp server enable static arp mappings işaretlerseniz sadece ip ve mac eşleşenler pfsense le iletişim kurabilir. pfsense tanınmayan maclerden gelen istekleri direk reddeder sadece local de erişimleri olur. bu da internete girişlerini engeller.

    @aydemir_07:

    Arkadaşlar bütün kullanıcıların mac adresleri tek tek alınıp ip verilmiştir. Captiveportal+freeradius ayarlanmıştır. Paket olarak ta squid,squidguard,lightsquid ve cron kurulmuştur. Fakat kullanıcılardan artık tabiri caizse gına geldi. :) Mac adresini değiştirip girenden tutunda şifrsini paylaşan mı dersin. Neyse önce şunu sorayım; mac+ip+radius eşleşmesi yapmak mümkün müdür? Mac adresi kayıtlı olmayan kullanıcılar kayırlı kullanıcıların mac adreslerini alıp ağa bağlanıyorlar fakat internete çıkamıyorlardı, kullanıcı adı ve şifreleri olmadığı için. Fakat kullanıcı adı ve şifre paylaşımını büyük ihtimalle engelledim. Yapmak istediğim kullanıcı adı ve şifre ile ip numarasını birbirine bağlayabilir miyiz? 1. derecede yapmak istediğim bu.

    2. sorunum ise anlattığım gibi mac+ip eşleşmesini yaptım. "Deny unknown clients" seçeneğini işaretledim. Range aralığını da 192.168.10.10-192.168.10.10 yaptım. Fakat bugün lightsquid loglarını incelerken kayıtlı olmayan bir ip gördüm. Kayıtlı kullanıcılar 192.168.10.88 de bitiyor. Loglarda ise 192.168.10.103 numaralı bir ip gördüm. Böyle birşey mümkün müdür? Diye sormuyorum demek ki mümkün ama nasıl? :)
    Bu ip numarasının bağlandığı mac adresini görebilir miyiz?


Log in to reply