В конторе нашлось несколько продвинутых пользователей которые обходят запрет на выход в Интернет.
RB433AH раздает Интернет. Адреса присваиваются по DHCP. Всем адресам дается Make Static.
Так как даже для того чтобы задать статический IP нужно обладать правами админа то эти умники меняют MAC.
Последний символ но этого хватает для обхода ограничений. Как сделать привязку к IP и MAC?
Доступ в Интернет только с определенного IP и MAC
-
fanat
- Сообщения: 35
- Зарегистрирован: 21 дек 2011, 10:30
IP + MAC = IP - DHCP Server - Leases - + - вводите ip который вы хотите выдать этому клиенту и mac его устройства и интерфейс на котором сидит абон.
-
M1chA
- Сообщения: 149
- Зарегистрирован: 05 мар 2012, 11:35
Именно так все и выдается,но когда пользователь меняет MAC то у него появляется Интернет.
-
jaged
- Сообщения: 14
- Зарегистрирован: 03 дек 2012, 12:05
а запрещающее правило на форвардинг есть для адресов которым не разрешно?
ну или разрешающее тем кому можно(с запретом всем остальным)?
ну или разрешающее тем кому можно(с запретом всем остальным)?
-
jaged
- Сообщения: 14
- Зарегистрирован: 03 дек 2012, 12:05
а в правилах как блокировка осуществляется? я бы просто создал адрес_лист кому можно и от них разрешал форвард, под этим правилом блок форварда для всех.
Если нужно к маку то есть в правилах Src_mac но тут придется для каждого компа создавать разрешение на форвардинг.
Если нужно к маку то есть в правилах Src_mac но тут придется для каждого компа создавать разрешение на форвардинг.
-
fanat
- Сообщения: 35
- Зарегистрирован: 21 дек 2011, 10:30
M1chA писал(а):Конечно )
Значит не работает или работает не правильно)
Вот так будет работать http://www.youtube.com/watch?v=plfanjnP5ps
-
M1chA
- Сообщения: 149
- Зарегистрирован: 05 мар 2012, 11:35
Настроено следующим образом.
Всем, кому не запрещено, по умолчанию дается Интернет на скорости 1Мб.
Все мониторится через Web Proxy т.е. в проксе указывается что такой - то IP deny.
А они меняют Mac и получают доступ в Интернет.
Всем, кому не запрещено, по умолчанию дается Интернет на скорости 1Мб.
Все мониторится через Web Proxy т.е. в проксе указывается что такой - то IP deny.
А они меняют Mac и получают доступ в Интернет.
-
Shino Kuyo
- Сообщения: 52
- Зарегистрирован: 30 июн 2012, 08:50
M1chA писал(а):А они меняют Mac и получают доступ в Интернет.
какие они коварные
-
M1chA
- Сообщения: 149
- Зарегистрирован: 05 мар 2012, 11:35
Схема.
В Address List есть группа "web_drop"
В NAT есть правило перенаправления на прокси.
В данном правиле прописано !Src Address List - no_proxy
В Filter есть правило которое запрещает "web_drop" серфинг интернета кроме ресурсов в списке corp_real
Проблема.
При включении ip адреса в список "web_drop" частично сайты открываются, например rambler.ru
а частично нет, например mikrotik.com
Только что выяснил, если я перенаправление на прокси отключаю то все работает нормально т.е. то что должно блочиться-блочиться а корп ресурс разрешен.
В Address List есть группа "web_drop"
В NAT есть правило перенаправления на прокси.
В данном правиле прописано !Src Address List - no_proxy
В Filter есть правило которое запрещает "web_drop" серфинг интернета кроме ресурсов в списке corp_real
Проблема.
При включении ip адреса в список "web_drop" частично сайты открываются, например rambler.ru
а частично нет, например mikrotik.com
Только что выяснил, если я перенаправление на прокси отключаю то все работает нормально т.е. то что должно блочиться-блочиться а корп ресурс разрешен.