Zeitgesteuerte MAC-basierte Firewall-Regel

Started by markus.tobatz, July 22, 2024, 10:14:39 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 22, 2024, 10:14:39 AM
Hallo,

das Kind muss nachts etwas eingeschränkt werden :-D
Ich habe hier daher eine Liste an relevanten MAC-Adresse, die ich gern zeitgesteuert blockieren will. Diese MACs hängen alle in unterschiedlichen VLANs. Gibt es einen einfachen Weg für eine globale Regel, um die zeitgesteuert per DENY zu blockieren oder muss ich in jedem VLAN separat eine Regel anlegen? Geht das vllt. auf dem übergeordneten physischen LAN über das die VLANs letztlich laufen?

VG
July 22, 2024, 10:25:17 AM #1
Ach, ich bin doof, hab ja eine VLAN Gruppe. Probiere es erstmal damit
July 22, 2024, 10:51:32 AM #2
Ich weiß nicht, wie das bei Apple ist, aber wenn du unter Android die Funktion zur Randomisierung der MAC benutzt, wäre dein Plan nicht umsetzbar oder?
July 22, 2024, 11:21:02 AM #3
Normalerweise wird bei Android die MAC zwar zufällig erzeugt, bleibt pro SSID dann aber konstant - man denke nur an Hotel-WLANs mit Tokens, wenn sich die MAC jedesmal ändert, müsste man sich immer neu anmelden, wenn man von einem Ausflug zurückkommt.

Wenn jemand allerdings so schlau ist, die SSID zu "vergessen" oder die Randomisierung ab- und wiedereinzuschalten, würde vermutlich eine neue MAC erzeugt.

Ich denke, man kann mit Smartphones normalerweise nur entweder zufällige MACs oder die "echte" MAC nehmen, keine "beliebige" MAC faken. Das ist bei Ethernet-Clients anders - dagegen hilft nur 802.1x.

Helfen würde ein Captive Portal und/oder überhaupt eine Netztrennung für restringierte Geräte, wo man eine Whitelist nutzt, dann muss die Randomisierung abgeschaltet werden bzw. ein Zugriff ist nur nach eindeutiger Identifiierung möglich. Anhand dessen lässt sich dann eine Einschränkung durchführen. Die Netzabtrennung wäre insbesondere für WLAN(s) sinnvoll.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
July 22, 2024, 11:27:13 AM #4
Auf MAC filtern ist schwach, damit hält man typischerweise Kinder nicht aus dem Internet raus.
Hauptsächlich, weil die Fritzbox das auch so macht, und es damit massenweise Anleitungen gibt, wie so etwas zu umgehen ist.
July 22, 2024, 12:24:29 PM #5
Quote from: markus.tobatz on July 22, 2024, 10:25:17 AM
Ach, ich bin doof, hab ja eine VLAN Gruppe. Probiere es erstmal damit
Währe auch mein Vorschlag, wenn schon in einem VLAN, sperre das VLAN zeitgesteuert für den Internetzugriff.
July 23, 2024, 11:23:46 PM #6
Sofern du als Accesspoint einen Ubiquiti hast, da gibt es seit kurzem PPSK. Du hast eine SSID, kannst aber unterschiedliche Passwörter vergeben, welche dann alle in ein anderes VLAN gehen. Oder du baust eine eigene SSID nur für die Kinder. Hilft natürlich dann nur bei drahtlosen Geräten  ;D
Print
Go Up Pages1
User actions