Como bloquear um macaddress para não acessar internet no pfsense [RESOLVIDO]

iesgo
(usa Debian)

Enviado em 22/05/2017 - 14:40h

Olá!
Caros.

Sou novato no pfsense e estou precisando de ajuda em uma questão! trabalho em uma faculdade e constantemente tenho professores trazendo notbooks e plugando na minha rede para baixar coisas, como não dispomos de uma internet boa isso gera muita reclamação pois fica lento!
Estou utilizando o pfsense 2.1, não utilizo dhcp, procuro uma forma de bloquear o macaddress dessas maquinas intrusas para não conseguirem navergar.
Se alguém tiver alguma dica, fico muito grato.

Tomas Droog

mthiagom
(usa CentOS)

Enviado em 29/05/2017 - 10:26h

E como é o bloqueio atualmente?
Tudo é liberado para todos, se for assim, você terá mais trabalho para rastrear os macadress destes professores. Mas você pode tentar fazer com esta regra:

#Liberado por MAC ADDRESS
acl mac arp "/var/squid/acl/mac.acl"
http_access deny mac

Colocar ela em "Custom Options (Before Auth)" opção avançada da aba geral do squid.

Mas o interessante é fazer o contrario bloquear tudo e liberar o necessário.

removido
(usa Nenhuma)

Enviado em 29/05/2017 - 10:41h

Olá. Eu não entendo muito destas coisas, mas posso dar um palpite?

É possível mudar o MAC Address de uma placa de rede. Em Linux é feito com uma mão nas costas. Em Windows© existe um aplicativo a ser baixado, ou altera-se direto no registro do sistema.

Então creio ser melhor cadastrar os MAC Addresses das placas das máquinas usuais da rede ao invés de bloquear. Só se alguém fuçar no sistema e descobrir o MAC Address de uma das máquinas cadastradas e substituir em sua própria máquina o MAC Address por este é que seria possível usar a rede.

Daí deve-se avaliar a possibilidade de vazar um desses endereços físicos, de como não deixar fuçarem nas máquinas e como ocultar estas informações.

É por aí.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

iesgo
(usa Debian)

Enviado em 29/05/2017 - 14:30h

Olá!
Muito obrigado aos amigos mthiagom e listeiro_037, as dicas de vocês realmente fazem sentido! vou aproveitar as ferias do meio do ano para refazer meu Pfsense e cadastrar o que precisa acessar e bloquear o restante, vai dar um pouco de trabalho pra implantar, mas depois fica muito mais fácil de gerenciar!

Mais uma vez muito agradecido aos amigos e até mais.


Tomas Droog

removido
(usa Nenhuma)

Enviado em 29/05/2017 - 23:36h

Olá de novo. Você ainda está por aí?

Estive pensando nesta tarde em algumas coisas ... É sobre algo que vi uma vez, mas não dou certeza de ser isto mesmo.

E se alguém colocasse, por exemplo, um notebook com interface de rede em modo promíscuo e rodando um sniffer básico, talvez algum programa tipo tcpdump?

Quais as informações de rede que ele teria acesso? Teria como pegar alguns MAC Addresses? Que tipo de brincadeira poderia rolar com IPv4?

Como disse, não tenho certeza de alguns paranauês, mas esse tipo de coisa seria um hacking mais refinado, não essa bobeira de ficar brincando de invadir com Kali que infelizmente virou banalidade. Algo do que pensei procede? Peço a outros que comentem.

Em resumo diria que é melhor proibir de uma vez por todas essa coisa de chegar e se conectar. Falha de segurança das brabas. Talvez conexão wireless seja uma boa, porque não há conexão direta e o tráfego é encriptado.

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)