MAC Adressen basierten kabelgebundenen Zugriff verweigern bzw. erlauben

Question

Guten Tag Forum, kann mir bitte jemand ein bisschen auf die Spr&uuml;nge helfen. Ich m&ouml;chte den Zugriff auf die Firewall bzw. auf Dienste anhand einer MAC Liste erm&ouml;glichen bzw. verweigern. Im Grunde so wie das Access Point / WLan Management bei dem man den Zugriff/Anmeldung anhand von MAC Listen erlauben bzw. verweigern kann (Siehe dazu dies: https://community.sophos.com/kb/en-us/119780 ) nur halt f&uuml;r die Clients die &uuml;ber die Ethernet Schnittstelle kommen. 
 Mir w&uuml;rde es auch gen&uuml;gen, wenn die Firewall den anfragenden Host keinen DHCP Lease gew&auml;hrt. Auch diese L&ouml;sung ist sehr gut und funktioniert auch nur m&ouml;chte ich es umgekehrt haben, also eher als Whitelist und nicht als Blacklist: https://www.itr.com.sg/single-post/2018/03/08/DHCP-MAC-Address-Filtering-on-Sophos-SG-UTM-9 
 Das ganze soll so eine Art "einfache" (ja ich wei&szlig;, dass man MAC Adressen f&auml;lschen kann) NAC sein, dass ohne Radius, 802.1X, Layer2 Switching auskommt. 
 Kennt jemand einen Umweg um das zu l&ouml;sen, denn anscheinend ist MAC basiertes DHCP Filterung nicht implementiert. 
 Mit besten Dank

nd · Answer

Hallo, 
 
 also ich weiss ja nicht, wo genau du bereits geschaut hast, aber unter dem DHCP Server war es scheinbar nicht (ausreichend):

Dort kannst du "Clients with static mappings only" setzen und musst f&uuml;r eine DHCP IP Adressvergabe all deine Clients unter Hosts definiert habn; eine IP Adresse musst du dort (wahrscheinlich) nicht fest definieren, aber zur Identifikation des Clients nat&uuml;rlich die MAC-Adresse, anhand welcher dann auch gew&auml;hrt oder verwehrt wird. ;) 
 
 Zus&auml;tzlich kannst du dann nat&uuml;rlich noch all jene definierten Clients in einer Gruppe zusammenfassen und entsprechend Regeln und Profile f&uuml;r die Firewall und den Webfilter definieren, etc., sodass bei einer manuellen IP Adressvergabe trotzdem kein Zugriff ins web oder diverse Netze/Hosts/Dienste m&ouml;glich ist.

LG