Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 7846 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MAC Based Deny - Guest Client - DHCP IP

Abyss_X
Hi all,

i want to deny mac-based a wifi (cisco APs) guest client to use any network service including http/s like described in this thread:

Web Protection Forum

After some reading and testing it looks like it is not possible to define a mac-based web protection rule to block the devive so i had a new idea.

I define only a small DHCP range for our wifi guests, for example

10.22.0.1 - 10.22.0.200

At the web protection module and the https firewall rule i only set this range to allowed. Now my idea was if i want to block one of this clients i change his ip to static:

network services -> dhcp -> ipv4 lease table -> "+Make static"

Now set for example 10.22.0.201 which has no network-rights and all is fine.

But the Problem is, of course i can define a mac based host in this way but this has no effect to the ipv4 lease table. The Client i want to block still has his old ip.

It would be great if anyone has an idea how to solve this or the following main Problem.

I want to block a guest-client which get his ip by dhcp for all traffic including http, the Client gets http access because of a web protection (web filtering) rule which point to the dhcp-range the client is using.

Regards, Abyss_X


This thread was automatically locked due to age.
Parents
  • 0
    thats right it´s like a hotspot funkction but without the wireless protection modul because of our Cisco WiFi infrastructure.

     OK Looks like it works if i set a low lease and change the ip to a static in a blocked ip range.

     What can happen is the user set his ip manualy to the allowed range. In this case i have no chance to block the web traffic because it is impossible to filter mac-based in the web-protection-module, is this correct?

    If you have Full Guard, you can use the Hotspot function on the Cisco wireless interface.  If you don't have the users administrative rights limited, you can't prevent them from manually changing their IPs.

    Cheers - Bob
Reply
  • 0
    thats right it´s like a hotspot funkction but without the wireless protection modul because of our Cisco WiFi infrastructure.

     OK Looks like it works if i set a low lease and change the ip to a static in a blocked ip range.

     What can happen is the user set his ip manualy to the allowed range. In this case i have no chance to block the web traffic because it is impossible to filter mac-based in the web-protection-module, is this correct?

    If you have Full Guard, you can use the Hotspot function on the Cisco wireless interface.  If you don't have the users administrative rights limited, you can't prevent them from manually changing their IPs.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hi BAlfson,

    excuse me if this is a stupid question but where can i find a cisco wireless interface at my utm? Or do you mean i should define the utm wifi Interface at wireless protection -> hotspots -> add hotspot? I have no experience with the wireless protection module.

    I thought i can only use the wireless protection module with sophos access points.