Bloquear la MAC-Address o IP de una maquina para que no se conecte a la red que



  • Buenas tardes

    Tengo el siguiente inconveniente y me gustaría consultarles si alguno tiene una solución:

    Soy administrador de la red en la empresa para la que laboro en donde como dispositivos de ruteo siempre hemos utilizado los PfSenses ya que en mi opinión personal es uno de los mejores proyectos pero tengo el siguiente inconveniente:

    Quiero que una maquina no se vuelva a conectar a mi red LAN en donde el PfSense se encarga de dar DHCP direcciones IPs a todos los dispositivos que se conectan, algo parecido a cuando bloqueo la Mac Address de una laptop en el router inalámbrico para que esta maquina no se conecte a la red inalámbrica que ofrece dicho Router.

    Estoy tratando de buscar la solución en internet y la manera de bloquearla en el pfsense pero no la encuentro por lo que les agradezco la gran ayuda que me puedan brindar.



  • El servicio DHCP de pfSense tiene opciones para que sólo puedan conectarse los equipos con MAC conocida.



  • Gracias Josep

    En este caso es una maquina con la dirección Mac address conocida y la quiero bloquear por que esta abusando de los recursos de la compañía y de la maquina así que quiero sacarla de la red LAN mandar un correo al jefe directo del usuario y hasta que el jefe me responda el correo indicando que por favor vuelva a activar la conexión de dicha maquina pues se volverá a activar.

    Esta opción la he echo en un SmoothWall pero no encuentro como denegar la Mac Address en el PfSense por lo que si conoce la solución le agradecería si me indica como hacerlo.

    Saludos y de antemano las gracias por la acostumbrada ayuda.



  • Buenas,

    Asumo que no quieres habilitar la opción para que rechace todas las mac address que no conozca porque no tienes ninguna registrada, y es poco viable adjuntarlas.

    Lo que te sugiero es que asignes una IP fija para esta mac address particular, y después le clavas una regla en el firewall para denegarle todo el acceso a esa IP y listo.

    No es la solución que buscas, porque creo que lo que quieres no lo tiene nativamente el pfsense, pero creo que es una forma sencilla de lograr el objetivo.

    Saludos y éxitos.-



  • Muchas gracias muy amable

    Te comento que anteriormente hice esa prueba sin embargo no me funciono, te adjunto la imagen de la regla que hice para revisarla si me hace el favor.

    ![Sin nombre.jpg](/public/imported_attachments/1/Sin nombre.jpg)
    ![Sin nombre.jpg_thumb](/public/imported_attachments/1/Sin nombre.jpg_thumb)


  • Rebel Alliance

    @bcalvo:

    En este caso es una maquina con la dirección Mac address conocida y la quiero bloquear por que esta abusando de los recursos de la compañía y de la maquina así que quiero sacarla de la red LAN

    @bcalvo:

    Te comento que anteriormente hice esa prueba sin embargo no me funciono, te adjunto la imagen de la regla que hice para revisarla si me hace el favor.

    Cuando dices "quiero sacarla de la red LAN " te refieres a la red 10.0.3.x ?

    Con la regla que creaste, únicamente bloqueas el acceso a "internet" de ese host/pc (10.0.3.144)

    El tráfico entre los hosts de la red LAN (10.0.3.x) no lo podrás bloquear, ya que el mismo no pasa por el GW (pfSense) ;)



  • Buenas tardes Gracias por la ayuda.

    Cuando dices "quiero sacarla de la red LAN " te refieres a la red 10.0.3.x ?

    Correcto así es, no quiero que se pueda conectar a la red: 10.0.3.X/24

    Con la regla que creaste, únicamente bloqueas el acceso a "internet" de ese host/pc (10.0.3.144)

    El tráfico entre los hosts de la red LAN (10.0.3.x) no lo podrás bloquear, ya que el mismo no pasa por el GW (pfSense) ;)

    Comprendo, y cual sería la solución?

    Saludos y gracias por la ayuda.


  • Rebel Alliance

    Que "los de arriba" (jefes/gerencia) tomen cartas en el asunto. Pasa un informe acerca de los "abusos" de esa persona/empleado y que ellos decidan que medidas tomar.

    Si tienes a ese Host conectado a 1 Switch Manejable, puede que te permita bloquearlo… caso contario lo veo complicado :(



  • podrías probar en las opciones de proxy server –> access control --> Banned host addresses

    prueba y comenta como te fue, un cordial saludo



  • Saludos mi estimado vendria bien puedira dar mas detalles de lo que tiene en el apartado DHCP SERVER se nota en algunos comentarios que tiene una tabla de clientes con sus mac e ips determinadas pero en otros no de alli vendria la solucion para usted. Estamos a su orden



  • Buenos días

    Quería comentarles la solución que encontré esto para no dejar comentarios al aire o abiertas a como lo indica las buenas practicas de la documentación.

    1-En el primer paso se identifico la dirección física de la maquina que estaba abusando del ancho de banda y de uso indebido de los recursos mediante la tabla "ARP del PfSense".
    2-Se asigno una dirección fija a la  Mac Address en el: "DHCP SERVER"
    3-Se creo una regla en el firewall para que la maquina no pudiera utilizar ningún puerto o protocolo de la red es decir no puede usar internet, correo o cualquier otro sistema de la compañía.
    (Esta regla anteriormente no me funcionaba debido a que no había reiniciado el PfSense, otra forma hubiera sido reiniciar el servicio correcto pero opte por reiniciarlo lo cual no tarda mas de 4 minutos).
    4-Efectivamente la maquina quedo en la red pero bloqueado para utilizar cualquier otro recurso.

    Saludos y a todos los que comentaron muchas gracias por la acostumbrada ayuda, cualquier duda o consulta con gusto.

    Abajo esta una imagen de la regla creada.

    ![Sin nombre.jpg](/public/imported_attachments/1/Sin nombre.jpg)
    ![Sin nombre.jpg_thumb](/public/imported_attachments/1/Sin nombre.jpg_thumb)



  • @bellera:

    El servicio DHCP de pfSense tiene opciones para que sólo puedan conectarse los equipos con MAC conocida.

    hola buenas y disculpa si esta en otro lado la info pero la verdad no logro encontrarlo,necesito asignarle a las ip las mac de cada ordenador para que no puedan cambiar las direcciones ip de las maquinas,tengo gpo en windows server pero algunos admins tiene sus amigos y bueno se filtran las contraseñas…un desastre,en fin es posible esto?o algo similar?



  • Abra un hilo nuevo, y lea primero las recomendaciones antes de postear.

    ¡¡¡Este hilo data de 2014!!!



  • que corran a los admins y a sus amigos !



  • jajajaja me encantaria poder hacerlo xD!