Mac adresli kullanıcı engelleme sorunu

Merhaba aşağıda ki linki incelermisiniz.

http://www.gokhanvarol.net/?p=740  

Merhaba

Teşekkürler ama aradığım bu değil.. Web interface ile girdiğimde istemiş olduğum şeyin tam tersi var yani mac adres ekleyerek kimlerin internete çıkabileceğini vs belirleyebiliyorum ama o kısım da işime yaramıyorum çünkü yaklaşık 100 tane cihaz bu firewall üzerinden internete çıkıyor.. 

Merhaba,

 Eğer DHCP server olarak WatchGuard kullanıyorsanız aşağıdaki yöntemi kullanabilirsiniz. 

İlgili interface altında MAC Access Control sekmesine gelip istediğiniz MAC adresinin bu interface üzerinden veri alış-verişini engelleyebilirsiniz.

Fakat DHCP dağıtıcısı olarak içeride bir server kullanıyorsanız bu trafik WatchGuard'a gelmeden yada geçmeden gerçekleştiği için WatchGuard'ın bunu engellemesi mümkün değildir.

İyi çalışmalar. 

Siz mac adresine göre engellememi yapmak istiyorsunuz. 

Eğer bu şekilde yapmak istiyorsanız

Aşağıda ki linke tıklayınız

Sekmelerden Mac access control sekmesini açın oradan restrict access by mac address (mac adresine göre erişimi kısıtmak ) seçeneğini aktif ederek engellemek istediğiniz mac adreslerini tanımlayınız eğer bu değilse daha net anlatırsanız yardımcı olmaya çalışırım.

iyi çalışmalar. 

Merhaba,

 Eğer DHCP server olarak WatchGuard kullanıyorsanız aşağıdaki yöntemi kullanabilirsiniz. 

İlgili interface altında MAC Access Control sekmesine gelip istediğiniz MAC adresinin bu interface üzerinden veri alış-verişini engelleyebilirsiniz.

Fakat DHCP dağıtıcısı olarak içeride bir server kullanıyorsanız bu trafik WatchGuard'a gelmeden yada geçmeden gerçekleştiği için WatchGuard'ın bunu engellemesi mümkün değildir.

İyi çalışmalar. 

Tekrar Merhaba

 Erdal Bey ile Mehmet bey cevaplarınız için teşekkürler. Bu bahsettiğiniz bölümü biliyorum fakat orda bir can alıcı cümle var ki

"Select this check box to restrict which devices can send/receive traffic through this network
interface. You must add a MAC address for each device you want to allow."

Dediğine göre buraya mac adresi girildiğinde istediğimiz şeyi yapacak ama son cümleye bakarsanız anlayacağınız gibi sadece oraya eklenen mac adresleri erişim alıyor. Yani ben o kutucuğu aktif edip denemek için bir mac adresi ekledim fakat sadece o mac adresli cihaz erişim alabildi. Diğer tüm cihazları bloklamış oldum. dolayısıyle sanırım bu bölüm deği. Ayrıca mehmet Bey aynen dediğiniz şeyi yapmaya çalışıyorum. 

Teşekkürler

Ben teşekkür ederim işlemden sonra olumlu veya olumsuz bizi tekrar haberdar edersiniz.

 İyi çalışmalar. 

Ben teşekkür ederim işlemden sonra olumlu veya olumsuz bizi tekrar haberdar edersiniz.

 İyi çalışmalar. 

Mehmet Bey, 

 Zaten ben o kısmı geçmişte denemiştim. Oraya mac adresi girildiğinde bloklamak için değil izin vermek için işe yarıyor. Yani benim tüm mac adresleri o kısma girmem maalesef söz konusu bile değil. Dolayısıyle sonuç olumsuz.

Mehmet Bey merhaba,

 Konu çok açık aslında. MAC adreslerini kontrol etmek istiyorsanız, öncelikle kendi networkünüzdeki MAC adreslerini kontrol altında tutmalısınız. 100 değil 300 tane MAC adresini IP adreslerine bind etmiş birini tanımıştım. İmkansız derken neyi kastettiğinizi ben anlayamadım açıkçası. Sonuçta bir değil iki çözüm birden var ama bu tip bir erişim yönetimi için biraz uğraş vermek kesinlikle gereklidir. 

Sizin istediğiniz şekilde bir yapıyı ise 802.1x ile kurabilirsiniz ki bu uygulama için vereceğiniz uğraş emin olun bunun 10 katı olacaktır.

Daha olmadı SSID'yi gizleyin, çocuklar görmesin 😉

İyi çalışmalar dilerim. 

Erdal bey merhaba 

imkansız derken orayı anlayamadım. Sizde biliyorsunuz ki imkansız diye bir şey yoktur.  🙂 Mustafa bey Erdal beyin dediğine bende katılıyorum. biraz uğraş vermemiz gerekecek bende yapımda watchguard xtm 505 serisini kullanıyorum. Normal bir kullanıcı gelip bilgisayarını boş duran kabloya taksa bile internet erişimi yok hatta bunu biraz abartarak AP cihazımızda bile mac tanımlaması 🙂 yapmadan kullanıcılar internete çıkamıyorlar. 

Erdal bey merhaba 

imkansız derken orayı anlayamadım. Sizde biliyorsunuz ki imkansız diye bir şey yoktur.  🙂 Mustafa bey Erdal beyin dediğine bende katılıyorum. biraz uğraş vermemiz gerekecek bende yapımda watchguard xtm 505 serisini kullanıyorum. Normal bir kullanıcı gelip bilgisayarını boş duran kabloya taksa bile internet erişimi yok hatta bunu biraz abartarak AP cihazımızda bile mac tanımlaması 🙂 yapmadan kullanıcılar internete çıkamıyorlar. 

Mehmet Bey selamlar,

 İmkansız derken Mustafa Bey'in "Mehmet Bey, 

 Zaten ben o kısmı geçmişte denemiştim. Oraya mac adresi girildiğinde bloklamak için değil izin vermek için işe yarıyor. Yani benim tüm mac adresleri o kısma girmem maalesef söz konusu bile değil. Dolayısıyle sonuç olumsuz."

 cevabını refere etmiştim. Yoksa ben de imkansız diye birşey yoktur derim genelde.

Gerçekten kurallı, olması gerektiği gibi bir politikaya oluşturulmak isteniyorsa, uğraş vermek şarttır. Benim bildiğim piyasada "armut piş, ağzıma düş" bir cihaz yok zaten 🙂 

Selamlar 

Kusura bakmayın Erdal bey ben yanlış anlamışım. 🙂

Saygılar ve selamlar. 

Erdal bey merhaba 

imkansız derken orayı anlayamadım. Sizde biliyorsunuz ki imkansız diye bir şey yoktur.  🙂 Mustafa bey Erdal beyin dediğine bende katılıyorum. biraz uğraş vermemiz gerekecek bende yapımda watchguard xtm 505 serisini kullanıyorum. Normal bir kullanıcı gelip bilgisayarını boş duran kabloya taksa bile internet erişimi yok hatta bunu biraz abartarak AP cihazımızda bile mac tanımlaması 🙂 yapmadan kullanıcılar internete çıkamıyorlar. 

 

Mehmet Bey selamlar,

 İmkansız derken Mustafa Bey'in "Mehmet Bey, 

 Zaten ben o kısmı geçmişte denemiştim. Oraya mac adresi girildiğinde bloklamak için değil izin vermek için işe yarıyor. Yani benim tüm mac adresleri o kısma girmem maalesef söz konusu bile değil. Dolayısıyle sonuç olumsuz."

 cevabını refere etmiştim. Yoksa ben de imkansız diye birşey yoktur derim genelde.

Gerçekten kurallı, olması gerektiği gibi bir politikaya oluşturulmak isteniyorsa, uğraş vermek şarttır. Benim bildiğim piyasada "armut piş, ağzıma düş" bir cihaz yok zaten 🙂 

Selamlar 

Tekrar Merhaba,

 Haklısınız elbette imkansız diye birşey yoktur fakat okuldaki Bilgisayar lab.ları dahil olmak üzere toplam cihaz sayısı 130. bu sayıya sadece bilgisayar ve laptoplar dahil. yani öğretmenlerin evdeki bilgisayarları, cep telefonları, ipod, ipad türü cihazlar bu sayıya dahil değil. Belki siz de takdir edersiniz ki 3 katlı okul binasına her giren cihazı getirin mac adresini alacam deyip de alamam.Üstelik sürekli yurt dışından gelen misafirler de oluyor. 

Açıkcası armut piş ağzıma düş durumunu ben de aramıyorum fakat bana göre mantıklı olan bloklanmak istenen cihazın mac adresini girmek. Watchguardın istediği gibi izin vermek istediğin cihazı girmek bana saçma geldi ilk bakışta.

10-15 tane açıkgöz geçinen çocuk yüzünden her gün mac adresi girmekle uğraşmak istemiyorum. Başka yollar aramaya devam edeceğim. Yardımlarınız için çok teşekkürler.

Mustafa bey sizi çok iyi anlıyorum. Bu iş size ayrı bir iş yükü katacak

Bu yöntemle network güvenliğini sağlamış olacaksınız.sonuç olarak mac adreslerini 1 kereye mahsus gireceksiniz. Tabii ki bu işlemi yaparken zorlanacaksınız ama kontrol her zaman sizde olacak. Yinede başka yöntemler araştıracağım derseniz siz bilirsiniz 

iyi çalışmalar dilerim. 

Merhaba, Ortada bir cingözlük varsa  o zaman öğrenci mac adresini değiştirme işlemide yapabilir. Kullanıcı tarafında böyle heyecanlı arkadaşlar varsa bu çözümde bence zayıf kalacaktır. eğer imkan varsa Hotspot bir ürün kullanabilirsin. Bunun ücretsiz ve başarılı olanıda var. Biraz modifiye edilmesi gerek. Hadi ip almasını engelledim ellede ip atanabilir. Bence kurguyu biraz daha derinleştirmek gerekiyor.

Tekrar Merhaba,

 Haklısınız elbette imkansız diye birşey yoktur fakat okuldaki Bilgisayar lab.ları dahil olmak üzere toplam cihaz sayısı 130. bu sayıya sadece bilgisayar ve laptoplar dahil. yani öğretmenlerin evdeki bilgisayarları, cep telefonları, ipod, ipad türü cihazlar bu sayıya dahil değil. Belki siz de takdir edersiniz ki 3 katlı okul binasına her giren cihazı getirin mac adresini alacam deyip de alamam.Üstelik sürekli yurt dışından gelen misafirler de oluyor. 

Açıkcası armut piş ağzıma düş durumunu ben de aramıyorum fakat bana göre mantıklı olan bloklanmak istenen cihazın mac adresini girmek. Watchguardın istediği gibi izin vermek istediğin cihazı girmek bana saçma geldi ilk bakışta.

10-15 tane açıkgöz geçinen çocuk yüzünden her gün mac adresi girmekle uğraşmak istemiyorum. Başka yollar aramaya devam edeceğim. Yardımlarınız için çok teşekkürler.

 

Bence bunu yapmak zorundasınız bana kalırsa. 130 cihazı elle gezmeye gerek yok.

softperfect netscanner kuurn ağı tarayın. tüm cihazların kayıtları elinizin altında olur. kopyala yapıştır ile bilgileri girin.

daha sonra DHCP otomatik aralığını daraltın. 5 ip mesela (ağa sonradan dahil olan makinalar bu ip aralığını misafir networkü vb. şekilde tanımlamalar yaparsanız gelen giden misafirler için sorun yaşamazsınız. bu makinaların sadece internette erişimlerini sağlayabilirsiniz.  bu sayede 6. bilgisayar ip alamaz ve işlem yapamaz.

Bu arada tüm personele okula getirilen cihazların Kayıt yapılmadığında internete bağlanamayacaklarını bildirin. Bu işlem için bir mail atmaları yeterli illa cihazı getirmelerine gerek yok. (bir kaç kaynaktan mac adres öğrenebilmeleri için yönlendirin.)

 Ek olarak kayıtlarınız dışındaki makinaları (uyanıkların) biliyorsanız bu makinaların MAClerini ekleyin. ve bu makinalardaki tüm http isteklerini  http://www.okuldersleri.com/  gibi bir siteye yönlendirin.

selam dhcp havuzunda rezerve edilelebilen ip adresi sayısını kısamıyormusunuz. mesela 120 bilgisayarınız varsa geri kalan adresleri excluded edebilirsiniz böylece biraz daha hızlı çözüm olabilir ama bu kez kapalı cihazlardan boşta kalan adresleri alabilir öğrenciler.tam bir çözüm olmayabilir yinede.