Permitir solo algunas MAC para salir a internet



  • Hola. Tengo un grupo de 100 maquinas aproximadamente de las cuales solo debo permitirles conexión a internet a 20.
    Estuve leyendo otras entradas del foro donde utilizan el dhcp de pfsense para asignar ciertas direcciones ip a algunas mac, y en base a esas ip permitir el trafico saliente a internet. El problema es que algunos usuarios cargan manualmente su configuración y asignas alguna de las ip permitidas logrando conectarse a internet.

    Mi pregunta es: ¿se puede crear una regla de firewall para permitir la salida a internet solo de algunas mac (independientemente de la ip que tenga) para poder evitar el problema anterior?

    Muchas Gracias!



  • @dim_daniel87:

    Hola. Tengo un grupo de 100 maquinas aproximadamente de las cuales solo debo permitirles conexión a internet a 20.
    Estuve leyendo otras entradas del foro donde utilizan el dhcp de pfsense para asignar ciertas direcciones ip a algunas mac, y en base a esas ip permitir el trafico saliente a internet. El problema es que algunos usuarios cargan manualmente su configuración y asignas alguna de las ip permitidas logrando conectarse a internet.

    Mi pregunta es: ¿se puede crear una regla de firewall para permitir la salida a internet solo de algunas mac (independientemente de la ip que tenga) para poder evitar el problema anterior?

    Muchas Gracias!

    yo lo que haria si sea utilizar una vlan distinta para los 20 usuarios que tienen permitido internet y para el resto otra vlan. que me imagino que es lejo lo mas seguro. tambien podrias usar el squid por bloqueo de mac pero eventualmente tambien podrian clonar esta.

    saludos



  • He leido en este mismo foro que para evitar que un equipo con direccion manual tenga acceso a la red, hay que configurar un "dhcp cerrado", pero no se como se hace con pfsense, esto es lo que necesitas  ;)

    Si indagas al respecto y logras hacerlo no estaría demás la documentación para la comunidad.

    Saludos y éxitos.-



  • Lo que tienes que hacer es limitar el rango de IPS que asigna el DHCP. Por ejemplo si tu DHCP asigna de la x.x.x.10 a la x.x.x.250, modificarlo para que solamente te asigne de la x.x.x.50 a la x.x.x.250, con lo cual ganarias 30 Ips, aunque mencionas que solo necesitas 20 Ips para restringir por mac. Una vez hecho esto debes identificar a las 20 maquinas que necesitas permitir internet para esto te vas a  Status-> DHCP leases y haciendo click sobre el boton del lado derecho que aparece en cada IP que necesitas bloquear (Edit static mapping) esto te mandara a Services-> DHCP-> Edit static mapping una vez ahi modificas la IP que te dio (Obviamente la MAC no) y le asignas una IP estatica que este en el rango x.x.x.10 al x.x.x.49, tienes que hacer lo mismo para las 20 maquinas. Ahora lo unico que falta es crear una regla que permita el acceso a Internet a ese rango que estas asignando manualmente, puedes crear primero un Alias para el rango x.x.x.10 al x.x.x.49 y despues usarlo en la regla.

    Saludos colega y aun soy novato en esto del PFSENSE, pero le veo mucho potencial



  • Luego activa el Arp en cada ip y en la configuracion general del Dhcp, con esto no podran cambiarse de Ip si lo hacen no tienen acceso a la red.



  • Creo que todas las opciones son buenas pero nadie va evitar que se pongan otra ip en las pcs.

    Lo recomendable sería reforzar las políticas de uso y hacer que tus usuarios las respeten.

    A menos de que les quiten la conexion , encontrarán una forma de saltarse las restricciones.

    No se si alguien  comento filtrar por ip/mac en la misma regla.

    Aunque igual y se clonan la mac con su respectiva ip. :), que se los puede impedir ?