Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 5404 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

mac address packet filter???

ANTY
Hi everybody.
I have a 20 pc's network with a packet filter rule that permit only to 3 machines to use external services. 
The other pc's have to use proxy service.
Now the problem is: if a lan user change its ip with the ip of one of the 3 pc's that can access all, my security/control policies are eluded. 
To solve the problem I have thought that the only things that could be done should be apply to ASL packet filter rules based on mac-address. Is it possibile? Any suggestion will be greatly appreciated.
Thanx, Anty.
--ASL 5.013 with SurfProtection by Cobion---


This thread was automatically locked due to age.
  • 0 in reply to PenTest
    [ QUOTE ]

    if someone takes the ip address of the power pc manually you will notice it next time you change your dhcp setup. then you scold them.

    [/ QUOTE ]
    Yes, I know. But then it will be too late.
    [ QUOTE ]

    if you are saying that you have no control over your users then you have to have an extra DMZ by defintion as your trusted subnet does not contain trusted (or controllable users).


    [/ QUOTE ]
    What will another dmz grant me if I can not protect my trusted lan?!?!? Everyone can plug the pc on the protected lan....This is the problem.
    [ QUOTE ]

    As for changing MAC. If you are saying your users dont know how to do this then thats your decision. If you are saying that it cant be done then you are incorrect.


    [/ QUOTE ]
    My situation is that no one can change their mac address. I didn't say that it is impossibile...But I know who my users are!
    [ QUOTE ]

    I get the impression the main problem you have is not having a policed security polciy. No device can fully protect you in this scenario 

    [/ QUOTE ]
    Disagree...
    I will change my switch with a intelligente programmable one.
    Every mac address one ip address. No other mac address allowed. And ASL will do the rest with ip address.
    200$ device will resolve my (and I underline MY) situation!!!
  • 0 in reply to ANTY
    whatever is good for you.

    however if you had money to spend then perhasp you should have said.

    what i suggested here was a firewall solution. not a network redesign which is what you propose.

    also your switch solution will tie mac to port. it probably wont tie mac to ip to port.

    which means you are still in the same situation.

    but as i said whatever is good for you. your problem of having untrusted users on a shared trused/untrusted zone is still the same