7. pfSense авторизация по MAC

7. pfSense авторизация по MAC

Теперь задача такая:

  • Доступ к интернету должен быть не у всех, а только у указанных компьютеров.
  • Указанные компьютеры должны идентифицироваться по MAC + IP

pfSense авторизация по MAC

На самом деле авторизация по MAC в pfSense не предусмотрена, но зато он может присваивать определённые IP-адреса конкретным MACам и проверять строгое соответствие MAC + IP (если соответствие нарушено, то pfSense такие компьютеры не обслуживает). Для решения поставленной задачи нам нужно переходить на статические IP клиентских машин (по крайней мере для тех машин, что будут иметь доступ в интернет). Поэтому рисуем на бумаге карту сети организации и присваиваем каждому компьютеру свой неповторимый IP-адрес. У меня карта получилась такая:

  • Служебные: 0-9
  • ЛТМ:
    • Левое крыло:
      • 2 эт: 10-29
      • 1 эт: 30-49
    • Правое крыло:
      • 1 эт: 50-69
      • 2 эт: 70-99
  • Гл.корпус:
    • Подвал: 100-109
    • 1 эт: 110-149
    • Отделения:
      • 1: 150-159
      • 2: 160-169
      • 3: 170-179
      • 4: 180-189
      • 5: 190-199
  • Свободные: 200-244
  • Служебные: 245-255

Все компьютеры находятся в сети 192.168.0.0/24.

Допустим, что каждый из этих компьютеров может когда-нибудь иметь выход в интернет, поэтому занятые IP-адреса с помощью DHCP раздавать не будем. Будем раздавать только диапазон 200-244 так, на всякий случай.

Идем в WEB-интерфейс: Services -> DHCP server -> вкладка LAN меняем Range на от 192.168.0.200 до 192.168.0.244

Проверено, если поставить галочку Enable static ARP entries, то с pfSense смогут взаимодействовать только те компьютеры, которые указаны в DHCP Static Mappings for this interface, то есть должна совпадать связка MAC + IP. Остальные компьютеры не смогут открывать WEB-интерфейс и пинговать pfSense, а также выходить через него в интернет, однако, DHCP для них будет работать как обычно.

Добавлять компьютеры в список DHCP Static Mappings for this interface легко через Status -> DHCP Leases.

Сейчас нам нужно ОБЯЗАТЕЛЬНО добавить в этот список клиентскй компьютер (с которого мы выполняем настройку через WEB-интерфейс), назначив ему статический IP-адрес, поставить галку Enable static ARP entries и нажать Save.

Если после сохранения WEB-интерфейс не доступен, значит вы указали отличный от присвоенного сейчас IP-адрес. Сработала политика Enable static ARP entries и Вас не пускают. Просто вытащите и вставьте сетевой кабель чтобы инициировать процесс получения нового IP-адреса.

Заметьте, при подключении новых компьютеров они нормально получают IP-адреса при помощи DHCP, но выходить в интернет, открывать WEB-интерфейс и пинговать pfSense не могут.

Чтобы разрешить новому компьютеру выходить в интернет, нужно сделать несколько простых шагов:

  • Зайти в Status -> DHCP Leases, найти новый компьютер и нажать плюсик
  • Присвоить новому компьютеру статический IP-адрес и комментарий. Нажать кнопку Save
  • Инициировать смену IP-адреса (вытащить и вставить сетевой кабель)

Импорт информации в Lightsquid

Возвращаюсь к пятой статье, а именно к отчетам Lightsquid Status -> Squid Proxy Reports -> вкладка Lightsquid Report. Там у нас осталась нерешённая проблема — некорректное отображение имен пользователей. Исправляем.

Создав карту сети со статическими адресами, мы можем присвоить IP-адресам — конкретные имена пользователей, а затем сгруппировать IP-адреса по группам (отделам). Для этого идём в папку /usr/pbi/lightsquid-i386/local/etc/lightsquid и редактируем файлы примерно следующим образом:

realname.cfg

192.168.0.10    Сидорова Наталья Викторовна (ноут)
192.168.0.11    Сидорова Наталья Викторовна
192.168.0.12    Осипова Татьяна Ивановна
192.168.0.13    Белоусова Виктория Анатольевна
192.168.0.14    Федотова Елена Александровна
192.168.0.15    Дорофеева Маргарита Валерьевна
192.168.0.16    Егорова Инна Ивановна
192.168.0.17    Боброва Анна Юрьевна
192.168.0.18    Дмитриева Людмила Ильинична
192.168.0.19    Калинина Наталья Борисовна
192.168.0.20    Анисимова Валентина Михайловна
192.168.0.21    Петухова Елена Игоревна
192.168.0.22    Антонова Альбина Николаевна

192.168.0.28    Тимофеева Валентина Михайловна
192.168.0.29    Никифорова Ольга Владимировна

и так далее…

 

group.cfg

192.168.0.0    01    Служебные 0-9
192.168.0.1    01    Служебные 0-9
192.168.0.2    01    Служебные 0-9
192.168.0.3    01    Служебные 0-9
192.168.0.4    01    Служебные 0-9
192.168.0.5    01    Служебные 0-9
192.168.0.6    01    Служебные 0-9
192.168.0.7    01    Служебные 0-9
192.168.0.8    01    Служебные 0-9
192.168.0.9    01    Служебные 0-9

192.168.0.10    02    Бухгалтерия
192.168.0.11    02    Бухгалтерия
192.168.0.12    02    Бухгалтерия
192.168.0.13    02    Бухгалтерия
192.168.0.15    02    Бухгалтерия
192.168.0.16    02    Бухгалтерия
192.168.0.17    02    Бухгалтерия
192.168.0.18    02    Бухгалтерия
192.168.0.19    02    Бухгалтерия
192.168.0.20    02    Бухгалтерия

192.168.0.14    03    Экономисты
192.168.0.21    03    Экономисты
192.168.0.22    03    Экономисты

192.168.0.28    04    Отдел кадров
192.168.0.29    04    Отдел кадров

и так далее…

 

skipuser.cfg (IP-адреса не попадающие в лог (мой IP :))

#SKIP THIS IP
192.168.0.9

 

Изменение метода отображения пользователей

Чтобы статистика Lightsquid отображалась с указанием имён пользователей, нужно сделать изменение: в Status -> Squid Proxy Reports -> вкладка Settings меняем параметр IP Resolve Method на Squidauth и делаем Refresh Now

 

Кстати, чтобы вместо кракозябров в отчёте были нормальные русские буквы, кодировка вышеуказанных файлов должна быть Windows-1251.

 

Содержание

(Просмотрено 14 819 раз, 1 раз за сегодня)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *