Я использую встроенный маршрутизатор pfsense (v 1.2.3) в качестве основного маршрутизатора. Я хочу заблокировать весь трафик с неизвестных хостов. У меня есть DHCP-сервер, который выдает аренду только определенным заранее определенным (на основе MAC-адреса) хостам. Я хотел бы предотвратить установку статического IP-адреса на машине и возможность использовать мою систему. Можно ли это предотвратить, и если да, то как именно этого добиться? Я понимаю, что они должны быть либо физически подключены, либо иметь доступ к моей беспроводной сети, но я пытаюсь использовать маршрутизатор в качестве другого уровня безопасности, плюс у меня есть некоторые временные ограничения для детских устройств на основе IP-адресов, и я не Я не хочу, чтобы они могли их обойти, просто назначив статический IP-адрес.
Вы можете использовать статический ARP на DHCP-сервере и разрешить только определенным хостам получать IP. Вы захотите использовать 2.0, если будете использовать полный статический маршрут ARP. В стабильном выпуске недавно были обнаружены некоторые проблемы, но он отлично работает в 2.0.
pfSense может выполнять фильтрацию MAC-адресов, а для детских машин я бы просто отфильтровал MAC-адреса, если вы беспокоитесь, что они испортят IP-адреса, чтобы обойти исходящую фильтрацию. Просто убедитесь, что у вас нет другого маршрутизатора с NAT между блоком pfSense и клиентами.
«Включить статические записи ARP» на странице конфигурации позволит вам перечислить только MAC-адреса, по которым вы хотите получить доступ к маршрутизатору на данном интерфейсе - это должно держать неизвестных / нежелательных пользователей в стороне.
Это только что пришло мне в голову, и я был бы признателен за отзывы о достоинствах этой идеи:
Установите правило, чтобы заблокировать весь исходящий трафик в моей локальной сети. Затем введите правила, разрешающие трафик с известных хостов (на основе их IP-адресов), и дайте разрешающим правилам более высокий приоритет. Тогда единственный способ выйти в Интернет со статическим IP-адресом - это установить статический IP-адрес на уже используемый IP-адрес, и это вызовет проблемы. Я мог бы немного перемещать свои IP-адреса, чтобы создавать правила для / 28 и / 29, тем самым минимизируя количество правил, необходимых для разрешения трафика. - Мысли?