[fli4l] Internetzugang blockieren?
Michael Wieser
Mi_Wieser at web.de
Mo Okt 1 23:31:41 CEST 2018
On Mon, 1 Oct 2018 14:49:14 +0200, Alexander Dahl <lespocky at web.de>
wrote:
>Hallo Michael,
>
>Michael Wieser schrieb Montag, 1. Oktober 2018, 14:03 (CEST):
>> Wie kann ich einstellen, das Geräte, die mit einer fest eingestellten
>> IP-Adresse aus dem gleichen Bereich wie die DHCP-Adressen
>> (192.168.x.y/24) aber ohne gültiger MAC keinen Zugang ins Internet
>> bekommen?
>
>Das klingt als würdest Du eine Whitelist von MAC-Adressen haben wollen,
>d.h. nur Geräte mit bekannter und im Router hinterlegter MAC-Adresse
>bekommen Zugriff auf's Internet?
>
>Hilft Dir der Abschnitt "3.10.2.4 Einschränkung der MAC-Adresse" der
>Dokumentation weiter? Da geht es darum, wie man im Paketfilter
>MAC-Adressen referenziert:
>
>http://www.fli4l.de/fileadmin/doc/deutsch/html/fli4l-3.10.14/node18.html#SECTION004102400000000000000
>
>Grüße
>Alex
Wenn ich das richtig verstehe reicht es eigentlich aus mit
PF_PREROUTING_N='4'
PF_PREROUTING_1='mac:12:34:56:78:90:ab accept' #Client im LAN
PF_PREROUTING_2='mac:12:34:56:78:90:cd accept' #Client im LAN
PF_PREROUTING_3='mac:aa:34:56:78:90:ab accept' #Gegenüber im WAN
PF_PREROUTING_4='mac:any drop log' # und der Rest wird mit Protokoll
verworfen.
alle erlaubten MACs zuzulassen und danach alle anderen zu verwerfen -
und das auch zu protokollieren.
Da das Prerouting ja auch vom Internet her aktiv ist muß also auch der
vorgelagerte Router mit seiner MAC definiert werden...
klingt einfach...
Hintergrund der ganzen Sache ist, dass das LAN, das ans Internet
angeschlossen werden soll, keinerlei physikalischen Schutz vor
Unbefugtem Zutritt bietet. BYOD ist definitiv untersagt. Und dennoch
stöpselt jeder an wie und was er will. Sanktionsmöglichkeiten habe ich
keine und da ich nicht vor Ort bin kann ich auch nicht einschreiten.
Da das Ziel der Anstöpslereien defakto immer nur ein Internetzugang
ist versuche ich nun auf diese Weise den Internetzugang für unbekannte
Geräte zu unterbinden.
Damit müssen sich die Leute bei mir melden - oder sie lassen es sein,
wenn sie merken das es wirklich nicht geht.
Grüße
-
Michael Wieser
--
Mehr Informationen über die Mailingliste Fli4L