Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 7842 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MAC Based Deny - Guest Client - DHCP IP

Abyss_X
Hi all,

i want to deny mac-based a wifi (cisco APs) guest client to use any network service including http/s like described in this thread:

Web Protection Forum

After some reading and testing it looks like it is not possible to define a mac-based web protection rule to block the devive so i had a new idea.

I define only a small DHCP range for our wifi guests, for example

10.22.0.1 - 10.22.0.200

At the web protection module and the https firewall rule i only set this range to allowed. Now my idea was if i want to block one of this clients i change his ip to static:

network services -> dhcp -> ipv4 lease table -> "+Make static"

Now set for example 10.22.0.201 which has no network-rights and all is fine.

But the Problem is, of course i can define a mac based host in this way but this has no effect to the ipv4 lease table. The Client i want to block still has his old ip.

It would be great if anyone has an idea how to solve this or the following main Problem.

I want to block a guest-client which get his ip by dhcp for all traffic including http, the Client gets http access because of a web protection (web filtering) rule which point to the dhcp-range the client is using.

Regards, Abyss_X


This thread was automatically locked due to age.
  • 0
    I've also read your post in the German forum, and it seems that you would want to use something like a Hotspot definition in Wireless Security.

    You can clear the lease table in the UTM by toggling the DHCP server off/on.  To block a user, assign a fixed IP that's outside any allowed ranges in proxies and firewall rules.  Of course, you'll have to wait for the offending device to ask for a new IP.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi BAlfson,

    thats right it´s like a hotspot funkction but without the wireless protection modul because of our Cisco WiFi infrastructure.

    OK Looks like it works if i set a low lease and change the ip to a static in a blocked ip range.

    What can happen is the user set his ip manualy to the allowed range. In this case i have no chance to block the web traffic because it is impossible to filter mac-based in the web-protection-module, is this correct?
  • 0
    thats right it´s like a hotspot funkction but without the wireless protection modul because of our Cisco WiFi infrastructure.

     OK Looks like it works if i set a low lease and change the ip to a static in a blocked ip range.

     What can happen is the user set his ip manualy to the allowed range. In this case i have no chance to block the web traffic because it is impossible to filter mac-based in the web-protection-module, is this correct?

    If you have Full Guard, you can use the Hotspot function on the Cisco wireless interface.  If you don't have the users administrative rights limited, you can't prevent them from manually changing their IPs.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi BAlfson,

    excuse me if this is a stupid question but where can i find a cisco wireless interface at my utm? Or do you mean i should define the utm wifi Interface at wireless protection -> hotspots -> add hotspot? I have no experience with the wireless protection module.

    I thought i can only use the wireless protection module with sophos access points.
  • 0
    The Hotspot functionality can be applied to any interface on the UTM.  Careful that you don't put one on your Internal interface as it applies to every connection on that interface

    You're right though the management of APs is limited to Sophos APs.

    Cheers - Bob
  • 0
    If you want to block all network access for a particular MAC address you'll want to do that at Layer 2 as close to the undesired device as possible.

    Does your AP(s) or switch(es) support filtering based on the MAC address?