none
Bloquear IP por MAC address

    Question

  • Ola a todos,

    Gostaria de saber como posso atribuir um IP por MAC address...

    Por DHCP eu consegui, por exemplo, crio um Reservation do MAC address "X", para o IP "Y", toda vez que esse MAC colocar as configuracoes do IP em automatico, lhe será atribuido o IP "Y".

    Porem se esse mesmo MAC address faz uma configuracao de IP manual ele consegue se comunicar normalmente na rede, pois não está passando pelo DHCP, o que eu gostaria de fazer era criar uma regra que impeça esse determinado MAC address de se comunicar por qualquer IP que não seja o que eu reservei, assim se ele colocar as configurações em automatico, receberá o IP reservado a ele, e se colocar qualquer outro IP manualmente que não seja o reservado, ele não comunicará na rede e nem navegará na internet. E da mesma forma, se algum outro MAC address tentar colocar esse IP reservado não irá funcionar.

    Como posso fazer isso?

    • Moved by Erick AlbuquerqueMVP Wednesday, October 19, 2011 5:38 PM Forum Apropriado (De:Windows Server 2003)
    Wednesday, October 19, 2011 12:25 PM

Answers

  • Olá,

    não é possível fazer este tipo de bloqueio no ISA/TMG, pois ele atua na camada 3 do modelo OSI.

    O que poderia ser feito no windows é utilizar o comando arp e associar o IP ao MAC, neste caso, se o pacote chegar com o IP diferente do MAC a requisição será bloqueada, não pelo ISA, mas pela pilha TCP/IP do Windows. Porém, isso aumenta bastante o esforço para gerenciamento, esta é uma solução que não recomendo.

    No entanto, como você deseja que esse determinado computador não converse com ninguém na sua LAN, o "workaround" acima não seria válido, pois só bloquearia os pacotes tráfegados por essa máquina.

    O mais prático seria fazer o bloqueio do MAC no switch (caso seja gerenciável).

     

    Atenciosamente,

    Paulo Oliveira.


    Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

    Blog: http://poliveirasilva.wordpress.com

    TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

     

    Wednesday, October 19, 2011 7:43 PM

All replies

  • Amigo esse recurso é nativo no 2008R2, no 2003, utilizava o seguinte varias redes interligadas por RRAS (Roteamento), e configurado no meu antivírus Endpoint, controles de acesso impedindo, o acesso a rede e comunicação dos servidores com IPSEC. 
    Adriano Kamui MCP|MCITP|LPI
    Wednesday, October 19, 2011 1:04 PM
  • Ola Amigo,

    Acontece que o RRAS, esta desabilitado pois uso ISA e no ISA penso não ter nenhuma configuração de maquinas por MAC address...

    Wednesday, October 19, 2011 1:31 PM
  • Vou mover seu post para fórum de ISA Server.

     

    Um abraço,


    Erick Albuquerque | Microsoft MVP
    MVP Profile | Twitter | Linkedin | http://iisbrasil.wordpress.com
    Wednesday, October 19, 2011 5:36 PM
  • Olá,

    não é possível fazer este tipo de bloqueio no ISA/TMG, pois ele atua na camada 3 do modelo OSI.

    O que poderia ser feito no windows é utilizar o comando arp e associar o IP ao MAC, neste caso, se o pacote chegar com o IP diferente do MAC a requisição será bloqueada, não pelo ISA, mas pela pilha TCP/IP do Windows. Porém, isso aumenta bastante o esforço para gerenciamento, esta é uma solução que não recomendo.

    No entanto, como você deseja que esse determinado computador não converse com ninguém na sua LAN, o "workaround" acima não seria válido, pois só bloquearia os pacotes tráfegados por essa máquina.

    O mais prático seria fazer o bloqueio do MAC no switch (caso seja gerenciável).

     

    Atenciosamente,

    Paulo Oliveira.


    Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

    Blog: http://poliveirasilva.wordpress.com

    TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

     

    Wednesday, October 19, 2011 7:43 PM