Фильтрация по mac-адресам

Сделай ДВЕ сети, рабочую и гостевую. Настрой так чтобы пользователи с личными девайсами попадали в гостевую сеть по умолчанию. А вот подключение к рабочей сети ограничивай любым доступным тебе способом.

Затея с фильтром по mac изначально глупая

Зачем делать гостевую сеть если задача как раз ликвидировать гостевые подключения?

Хорошо, пусть не делает гостевую сеть. Пусть позовёт настоящего админа.

Здравствуйте!

Здравствуйте!

Я начинающий специалист и не знаю как подойти к такой проблеме. Работаю в организации, где 1000+ компьютеров, которые пользуются локальной (внутренней) сетью. Мне надо сделать так, чтобы пользователи, принеся на работу свой личный ноутбук или компьютер и подключая к локальной сети, не получили доступ к этой сети. Т.е как я полагаю, создать white_list в котором прописаны mac-адреса компьютеров, которые я точно знаю и давать им доступ к сети и black_list, в котором все блокируется (остаются без доступа к локальной сети).

МАС адрес легко подслушать, подставить, сменить

лучше https://en.wikipedia.org/wiki/IEEE_802.1X

Мне это тоже скоро предстоит… На хабре есть интересная статья статья, хотя не новая

«На мой взгляд, всегда нужен прокси-сервер, пусть без кеширования и авторизации, даже в самых маленьких сетях, и запрет на прямой выход в интернет для пользователей. Основная причина — множество всяческой malware обращается на свои центры управления именно по HTTP(S), либо по чистому TCP c популярными портами (80/443/25/110…), но при этом она зачастую не в состоянии обнаружить настройки прокси в системе».

При этом в интернете упоминается, что через прокси нужно настраивать вход по групповой политике.

Источник: https://habr.com/ru/post/283482/

Как получится, напишите, пожалуйста, сюда алгоритм.

Как я понял нужно еще применять серты, иначе тот кто сможет сменить мак, сможет подслушать u/p в 802.1X

еще бы добавил, настройте port isolation, хотя бы между пользовательскими портами не будет трафик ходить. Если вирусня, то может помочь.

ну а в чем проблема? бань по макам. iptables это умеет.

Что умеет iptables? У него же задача:

подключая к локальной сети, не получили доступ к этой сети.

и при этом ТС ничего не написал на каком оборудовании (на каких свичах) построена сеть.

Обычно это делают через vlan, с привязкой конкретных портов switch’ей к MAC единственного клиента которому позволено к этому конкретному порту switch’а физически подключаться (для клиентов внутренней сети - «гостей» Вы заранее очевидно не знаете).

Ну так на таком уровне явно имеется в виду недоступность интернета. В крайнем случае dhcp.

И так и так это настраивается на роутере.

А где тут линукс, который тебе помочь настроить?

Чем компьютер в твоей организации отличается от личного?

Ну так на таком уровне явно имеется в виду недоступность интернета.

Не думаю. Обычно хотят дать возможность «гостям» ходить в инет, но полностью блокировать им доступ во внутреннюю сеть.

Ну если это wifi, то в другой vlan можно. Нормальные точки доступа позволяют сделать несколько сетей с разными vlan для своих и гостей.

Если ethernet то публичные розетки в другой vlan засунуть.

Если от своих, то по нищенски в dhcp прописать макадреса статикой и поставить arpwatch.

Вообще для этого сделали целый протокол с авторизацией чето 802.11q, но я ни разу в жизни не видел его работающим. Другой вариант pppoe и l2tp, тоже для этого используют, но это уже железо надо иметь.

Это не обязательно wifi. Я один раз наблюдал, как юзер к своему ноуту цеплял usb-сетёвку, получал в ноуте два ethernet, поднимал на ноуте мост (bridge), цеплял ноут к розетке корпоративной сети, а рабочий (казёный) комп к ноуту.

Так что, неплохо, ТСу расписать что за сеть, как народ подключает личные компы и т.д.

Вобще, незавидую я этой сети 1000+ компов, если там «начинающий» спец. решает подобные задачи. Если это действительно единая сеть, а не какой-нибудь ВУЗ, в котором каждая кафедра сама по себе, то начинать надо с внутренних распоряжений, чтобы сотрудники не безобразничали с ethernet кабелями.

Естественно. На самом деле, даже если сделать запароленный доступ, то кто помешает сотруднику подключить свой ноут вместо рабочего с тем же логином и паролем?

Или на рабочем компе поднять нат (не бридж) и ходить со своего ноута через рабочий?

Но в любом случае такая комплексная задача невозможна без комплекса аппаратных средств на всем оборудовании. А то, что у ТС, это явно просто желание руководства ограничить рукоблудство в сети в рабочее время. Постоянно с этим сталкиваюсь.

Хрена се, а чойто за лайки появились да еще под одним каментом из всех?

Вы про «реакции»? Новое на сайте: реакции на сообщения Я в stylus'е их обрезал, поэтому не вижу под каким коментом и что.

А, теперь понял. Они только пользователи с 5* и они спрятаны за надписью реакция.