"
Environnement :
Mode de fonctionnement : Bridge (avec paramètres net.link.bridge configurés)
Règles firewall appliquées sur l'interface bridge
Mise en place d'un DNS enforcement via NAT redirect (port 53 vers DNS interne)
Problème constaté :
J'ai tenté de mettre en place des règles basées sur des adresses MAC (via des alias) afin d'autoriser certains équipements (VIP) à contourner les restrictions DNS.
Cependant, le comportement observé est incohérent :
Les règles basées sur MAC ne semblent pas appliquées de manière fiable
Le trafic semble être traité principalement sur la base de l'adresse IP
Les mécanismes de NAT (redirection) et de state tracking semblent prendre le dessus sur le filtrage MAC
Mes questions :
Le filtrage par adresse MAC est-il officiellement supporté et fiable dans OPNsense, notamment en mode bridge ?
Comment le moteur pf gère-t-il les adresses MAC dans le processus de filtrage ?
Existe-t-il des paramètres (tunables) spécifiques permettant d'assurer un fonctionnement correct du filtrage MAC ?
Le filtrage MAC est-il compatible avec les règles NAT (port forward / redirection) ?
Quelle est la bonne pratique recommandée pour appliquer des politiques par équipement (MAC vs IP vs autres méthodes) ?
Objectif :
Mettre en place une politique de contrôle DNS fiable, tout en permettant à certains équipements spécifiques de bénéficier d'exceptions.
Si le filtrage MAC n'est pas recommandé, pourriez-vous me confirmer l'approche à privilégier (par exemple : règles basées sur IP, segmentation VLAN, ou intégration avec NAC / 802.1X) ?
Je vous remercie par avance pour votre aide.
Mode de fonctionnement : Bridge (avec paramètres net.link.bridge configurés)
Règles firewall appliquées sur l'interface bridge
Mise en place d'un DNS enforcement via NAT redirect (port 53 vers DNS interne)
Problème constaté :
J'ai tenté de mettre en place des règles basées sur des adresses MAC (via des alias) afin d'autoriser certains équipements (VIP) à contourner les restrictions DNS.
Cependant, le comportement observé est incohérent :
Les règles basées sur MAC ne semblent pas appliquées de manière fiable
Le trafic semble être traité principalement sur la base de l'adresse IP
Les mécanismes de NAT (redirection) et de state tracking semblent prendre le dessus sur le filtrage MAC
Mes questions :
Le filtrage par adresse MAC est-il officiellement supporté et fiable dans OPNsense, notamment en mode bridge ?
Comment le moteur pf gère-t-il les adresses MAC dans le processus de filtrage ?
Existe-t-il des paramètres (tunables) spécifiques permettant d'assurer un fonctionnement correct du filtrage MAC ?
Le filtrage MAC est-il compatible avec les règles NAT (port forward / redirection) ?
Quelle est la bonne pratique recommandée pour appliquer des politiques par équipement (MAC vs IP vs autres méthodes) ?
Objectif :
Mettre en place une politique de contrôle DNS fiable, tout en permettant à certains équipements spécifiques de bénéficier d'exceptions.
Si le filtrage MAC n'est pas recommandé, pourriez-vous me confirmer l'approche à privilégier (par exemple : règles basées sur IP, segmentation VLAN, ou intégration avec NAC / 802.1X) ?
Je vous remercie par avance pour votre aide.
