This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MAC sperren -> Gastnetz

Hallo zusammen,

ich spiele gerad ein wenig mit dem MAC Filter rum bin mir aber nicht sicher welcher der richtige Weg für meine Anforderung wäre. Wir betreiben eine separate DMZ für ein Gäste WLAN (Cisco APs), folgender Aufbau:

Netz 10.22.0.0/16
DHCP Server aktiv

Webfilter Proxy Profil Transparent
Auth. Modus Browser (HTTP)
Firewall Rule: Gastnetz -> HTTPS -> Internet -> allow

Nun hatten wir heute den Fall das es von einem der Gäste Clients einen IPS Alarm gab und ich mich nun frage wie ich diesen Client am einfachsten und effektivsten über die MAC sperren könnte.

Cu, Abyss_X

This thread was automatically locked due to age.

Parents

0 rprengel over 11 years ago

Hallo zusammen,

ich spiele gerad ein wenig mit dem MAC Filter rum bin mir aber nicht sicher welcher der richtige Weg für meine Anforderung wäre. Wir betreiben eine separate DMZ für ein Gäste WLAN (Cisco APs), folgender Aufbau:

Netz 10.22.0.0/16
DHCP Server aktiv

Webfilter Proxy Profil Transparent
Auth. Modus Browser (HTTP)
Firewall Rule: Gastnetz -> HTTPS -> Internet -> allow

Nun hatten wir heute den Fall das es von einem der Gäste Clients einen IPS Alarm gab und ich mich nun frage wie ich diesen Client am einfachsten und effektivsten über die MAC sperren könnte.

Cu, Abyss_X

Hallo,

wenn es lizenztechnisch passt schau dir mal die Astaro-Wlan-Aps an. Die regeln das bei Bedarf direkt.

Gruss
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 rprengel over 11 years ago

Hallo zusammen,

ich spiele gerad ein wenig mit dem MAC Filter rum bin mir aber nicht sicher welcher der richtige Weg für meine Anforderung wäre. Wir betreiben eine separate DMZ für ein Gäste WLAN (Cisco APs), folgender Aufbau:

Netz 10.22.0.0/16
DHCP Server aktiv

Webfilter Proxy Profil Transparent
Auth. Modus Browser (HTTP)
Firewall Rule: Gastnetz -> HTTPS -> Internet -> allow

Nun hatten wir heute den Fall das es von einem der Gäste Clients einen IPS Alarm gab und ich mich nun frage wie ich diesen Client am einfachsten und effektivsten über die MAC sperren könnte.

Cu, Abyss_X

Hallo,

wenn es lizenztechnisch passt schau dir mal die Astaro-Wlan-Aps an. Die regeln das bei Bedarf direkt.

Gruss
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 Abyss_X over 11 years ago in reply to rprengel

Hi, wie gesagt unser WLAN ist komplett über Cisco APs incl. Controller abgedeckt. Da gibt es aufgrund eine Voice Anlage auch nichts dran zu rütteln.

Ich habe inzwischen rausgefunden das ich unter:

Definitionen & Benutzer -> Netzwerkdefinitionen -> MAC Adressdefinitionen

die MACs eintragen (bsp WLAN-Deny-List) kann und dann unter:

Network Protection -> Firewall eine neue Rule erstellen kann

Quelle: DMZ_WLAN
Dienst: ANY
Ziel: ANY
Quell-Mac-Adressen: "WLAN-Deny-List"

Dadurch wird die HTTPS Firewall Rule schonmal abgedeckt, leider arbeitet DNS und HTTP noch :-( scheinbar aufgrund des Webfilter Profils im Web Protection Modul...

Tja und nun?

Cu, Abyss_X
Cancel
Vote Up 0 Vote Down

Cancel
0 Abyss_X over 11 years ago in reply to Abyss_X

Ein weiterer Versuch scheiterte auch. Der Gedanke dahinter, den DHCP Bereich einschränken welcher das Gast-WLAN versorgt, z.B.

10.22.0.1 - 10.22.0.200

im Web Protection Modul das Quellnetzwerk nur auf diesen Bereich legen, ebenso die HTTPS Firewall Rule.

Jetzt nahm ich an das ich aus der DHCP IP meines Testclients welchen ich Blocken möchte eine statische IP machen kann über

Netzwerkdienste -> DHCP -> IPv4 Lease Tabelle "+ Statisch machen"

Nun die IP 10.22.0.201 vergeben und alles wäre i.o. da dieser Bereich keinerlei Berechtigungen hat.

Allerdings kann man über diesen Weg zwar einen neuen Host anlegen mit MAC Bindung aber das bedeutet nicht das er aus der DHCP Lease Tabelle unter der alten IP verschwindet, ergo der Client behält die alte IP...

Mache ich an dieser Stelle irgend etwas falsch?

Cu, Abyss_X
Cancel
Vote Up 0 Vote Down

Cancel