Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Permitir solo algunas MAC para salir a internet

    Scheduled Pinned Locked Moved Español
    6 Posts 6 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dim_daniel87
      last edited by

      Hola. Tengo un grupo de 100 maquinas aproximadamente de las cuales solo debo permitirles conexión a internet a 20.
      Estuve leyendo otras entradas del foro donde utilizan el dhcp de pfsense para asignar ciertas direcciones ip a algunas mac, y en base a esas ip permitir el trafico saliente a internet. El problema es que algunos usuarios cargan manualmente su configuración y asignas alguna de las ip permitidas logrando conectarse a internet.

      Mi pregunta es: ¿se puede crear una regla de firewall para permitir la salida a internet solo de algunas mac (independientemente de la ip que tenga) para poder evitar el problema anterior?

      Muchas Gracias!

      1 Reply Last reply Reply Quote 0
      • D
        dementekuatiko
        last edited by

        @dim_daniel87:

        Hola. Tengo un grupo de 100 maquinas aproximadamente de las cuales solo debo permitirles conexión a internet a 20.
        Estuve leyendo otras entradas del foro donde utilizan el dhcp de pfsense para asignar ciertas direcciones ip a algunas mac, y en base a esas ip permitir el trafico saliente a internet. El problema es que algunos usuarios cargan manualmente su configuración y asignas alguna de las ip permitidas logrando conectarse a internet.

        Mi pregunta es: ¿se puede crear una regla de firewall para permitir la salida a internet solo de algunas mac (independientemente de la ip que tenga) para poder evitar el problema anterior?

        Muchas Gracias!

        yo lo que haria si sea utilizar una vlan distinta para los 20 usuarios que tienen permitido internet y para el resto otra vlan. que me imagino que es lejo lo mas seguro. tambien podrias usar el squid por bloqueo de mac pero eventualmente tambien podrian clonar esta.

        saludos

        1 Reply Last reply Reply Quote 0
        • E
          ega
          last edited by

          He leido en este mismo foro que para evitar que un equipo con direccion manual tenga acceso a la red, hay que configurar un "dhcp cerrado", pero no se como se hace con pfsense, esto es lo que necesitas  ;)

          Si indagas al respecto y logras hacerlo no estaría demás la documentación para la comunidad.

          Saludos y éxitos.-

          Si compartes dinero queda la mitad, si compartes conocimiento queda el doble.-

          1 Reply Last reply Reply Quote 0
          • S
            Sergestux
            last edited by

            Lo que tienes que hacer es limitar el rango de IPS que asigna el DHCP. Por ejemplo si tu DHCP asigna de la x.x.x.10 a la x.x.x.250, modificarlo para que solamente te asigne de la x.x.x.50 a la x.x.x.250, con lo cual ganarias 30 Ips, aunque mencionas que solo necesitas 20 Ips para restringir por mac. Una vez hecho esto debes identificar a las 20 maquinas que necesitas permitir internet para esto te vas a  Status-> DHCP leases y haciendo click sobre el boton del lado derecho que aparece en cada IP que necesitas bloquear (Edit static mapping) esto te mandara a Services-> DHCP-> Edit static mapping una vez ahi modificas la IP que te dio (Obviamente la MAC no) y le asignas una IP estatica que este en el rango x.x.x.10 al x.x.x.49, tienes que hacer lo mismo para las 20 maquinas. Ahora lo unico que falta es crear una regla que permita el acceso a Internet a ese rango que estas asignando manualmente, puedes crear primero un Alias para el rango x.x.x.10 al x.x.x.49 y despues usarlo en la regla.

            Saludos colega y aun soy novato en esto del PFSENSE, pero le veo mucho potencial

            1 Reply Last reply Reply Quote 0
            • A
              alejandrolor
              last edited by

              Luego activa el Arp en cada ip y en la configuracion general del Dhcp, con esto no podran cambiarse de Ip si lo hacen no tienen acceso a la red.

              1 Reply Last reply Reply Quote 0
              • A
                acriollo
                last edited by

                Creo que todas las opciones son buenas pero nadie va evitar que se pongan otra ip en las pcs.

                Lo recomendable sería reforzar las políticas de uso y hacer que tus usuarios las respeten.

                A menos de que les quiten la conexion , encontrarán una forma de saltarse las restricciones.

                No se si alguien  comento filtrar por ip/mac en la misma regla.

                Aunque igual y se clonan la mac con su respectiva ip. :), que se los puede impedir ?

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.