我运行作为我的主要路由器embeddedpfsense(v 1.2.3)。 我想阻止来自未知主机的所有stream量。 我有DHCP服务器设置为只给予某些预定义(基于MAC地址)主机的租约。 我想要阻止的是有人在机器上设置静态IP,并能够使用我的系统。 是否有可能阻止这一点,如果是这样,我究竟该如何做到这一点? 我意识到他们将不得不是身体上的连接,或有权访问我的无线networking,但我试图使用路由器作为另一级别的安全性,再加上我有一些基于IP地址的孩子设备的时间限制,我不不希望他们能够通过分配静态IP地址来绕过这些。
您可以在DHCP服务器中使用静态ARP,只允许定义的主机获取IP。 如果你使用完整的静态ARP路由,你会想要使用2.0,在稳定版本中最近发现了一些问题,但在2.0版本中工作正常。
pfSense可以做MAC过滤,对于孩子的机器,我只是在MAC地址上过滤,如果你担心他们会混淆IP来绕过出站过滤。 只要确保在pfSense盒子和客户端之间没有其他的NAT路由器。
configuration页面上的“启用静态ARP条目”将允许您仅列出要访问给定接口上的路由器的MAC地址 – 这将保持未知/不需要的用户closures。
这只是我想到的,我会很高兴反馈这个想法的优点:
把一个规则阻止我局域网上的所有传出stream量。 然后放入规则以允许来自已知主机的stream量(基于它们的IP地址)并给予允许规则更高的优先级。 那么有人可以通过静态IP访问互联网的唯一方法就是将静态IP设置为已经使用的IP,这将导致问题。 我可以移动我的IP地址,以便我可以为/ 28和/ 29创build规则,从而最大限度地减less允许通信所需的规则数量。 – 想法?