Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: markus.tobatz on July 22, 2024, 10:14:39 AM

Title: Zeitgesteuerte MAC-basierte Firewall-Regel
Post by: markus.tobatz on July 22, 2024, 10:14:39 AM
Hallo,

das Kind muss nachts etwas eingeschränkt werden :-D
Ich habe hier daher eine Liste an relevanten MAC-Adresse, die ich gern zeitgesteuert blockieren will. Diese MACs hängen alle in unterschiedlichen VLANs. Gibt es einen einfachen Weg für eine globale Regel, um die zeitgesteuert per DENY zu blockieren oder muss ich in jedem VLAN separat eine Regel anlegen? Geht das vllt. auf dem übergeordneten physischen LAN über das die VLANs letztlich laufen?

VG
Title: Re: Zeitgesteuerte MAC-basierte Firewall-Regel
Post by: markus.tobatz on July 22, 2024, 10:25:17 AM
Ach, ich bin doof, hab ja eine VLAN Gruppe. Probiere es erstmal damit
Title: Re: Zeitgesteuerte MAC-basierte Firewall-Regel
Post by: Baender on July 22, 2024, 10:51:32 AM
Ich weiß nicht, wie das bei Apple ist, aber wenn du unter Android die Funktion zur Randomisierung der MAC benutzt, wäre dein Plan nicht umsetzbar oder?
Title: Re: Zeitgesteuerte MAC-basierte Firewall-Regel
Post by: meyergru on July 22, 2024, 11:21:02 AM
Normalerweise wird bei Android die MAC zwar zufällig erzeugt, bleibt pro SSID dann aber konstant - man denke nur an Hotel-WLANs mit Tokens, wenn sich die MAC jedesmal ändert, müsste man sich immer neu anmelden, wenn man von einem Ausflug zurückkommt.

Wenn jemand allerdings so schlau ist, die SSID zu "vergessen" oder die Randomisierung ab- und wiedereinzuschalten, würde vermutlich eine neue MAC erzeugt.

Ich denke, man kann mit Smartphones normalerweise nur entweder zufällige MACs oder die "echte" MAC nehmen, keine "beliebige" MAC faken. Das ist bei Ethernet-Clients anders - dagegen hilft nur 802.1x.

Helfen würde ein Captive Portal und/oder überhaupt eine Netztrennung für restringierte Geräte, wo man eine Whitelist nutzt, dann muss die Randomisierung abgeschaltet werden bzw. ein Zugriff ist nur nach eindeutiger Identifiierung möglich. Anhand dessen lässt sich dann eine Einschränkung durchführen. Die Netzabtrennung wäre insbesondere für WLAN(s) sinnvoll.
Title: Re: Zeitgesteuerte MAC-basierte Firewall-Regel
Post by: bimbar on July 22, 2024, 11:27:13 AM
Auf MAC filtern ist schwach, damit hält man typischerweise Kinder nicht aus dem Internet raus.
Hauptsächlich, weil die Fritzbox das auch so macht, und es damit massenweise Anleitungen gibt, wie so etwas zu umgehen ist.
Title: Re: Zeitgesteuerte MAC-basierte Firewall-Regel
Post by: Tuxtom007 on July 22, 2024, 12:24:29 PM
Quote from: markus.tobatz on July 22, 2024, 10:25:17 AM
Ach, ich bin doof, hab ja eine VLAN Gruppe. Probiere es erstmal damit
Währe auch mein Vorschlag, wenn schon in einem VLAN, sperre das VLAN zeitgesteuert für den Internetzugriff.
Title: Re: Zeitgesteuerte MAC-basierte Firewall-Regel
Post by: Viplex92 on July 23, 2024, 11:23:46 PM
Sofern du als Accesspoint einen Ubiquiti hast, da gibt es seit kurzem PPSK. Du hast eine SSID, kannst aber unterschiedliche Passwörter vergeben, welche dann alle in ein anderes VLAN gehen. Oder du baust eine eigene SSID nur für die Kinder. Hilft natürlich dann nur bei drahtlosen Geräten  ;D
Text only | Text with Images