Forum

Mac adresli kullanı...
 
Bildirimler
Hepsini Temizle

Mac adresli kullanıcı engelleme sorunu

17 Yazılar
6 Üyeler
0 Likes
2,096 Görüntüleme
(@MustafaGurkut)
Gönderiler: 20
Eminent Member
Konu başlatıcı
 

Merhaba,

 

Okulumuzda kullandığım Watchguard xtm 510 Serisi firewall üzerinde kurulmuş olan 11.6 sürümü yazılım ile bazı mac adreslerin dhcp'den ip almalarını engellemek istiyorum. Bazı öğrencilerimiz wireless şifresini öğrenip cep telefonlarıyla okul networküne bağlanabiliyorlar ve bu bizim için sakıncalı bir durum.

  

 
Gönderildi : 13/09/2012 15:26

(@mehmetparlakyigit)
Gönderiler: 495
Honorable Member
 

Merhaba aşağıda ki linki incelermisiniz.

 

http://www.gokhanvarol.net/?p=740  

 
Gönderildi : 13/09/2012 15:41

(@MustafaGurkut)
Gönderiler: 20
Eminent Member
Konu başlatıcı
 

Merhaba

 

Teşekkürler ama aradığım bu değil.. Web interface ile girdiğimde istemiş olduğum şeyin tam tersi var yani mac adres ekleyerek kimlerin internete çıkabileceğini vs belirleyebiliyorum ama o kısım da işime yaramıyorum çünkü yaklaşık 100 tane cihaz bu firewall üzerinden internete çıkıyor.. 

 

 

 
Gönderildi : 13/09/2012 19:39

(@erdalorsavas)
Gönderiler: 140
Estimable Member
 

Merhaba,

 Eğer DHCP server olarak WatchGuard kullanıyorsanız aşağıdaki yöntemi kullanabilirsiniz. 

İlgili interface altında MAC Access Control sekmesine gelip istediğiniz MAC adresinin bu interface üzerinden veri alış-verişini engelleyebilirsiniz.

Fakat DHCP dağıtıcısı olarak içeride bir server kullanıyorsanız bu trafik WatchGuard'a gelmeden yada geçmeden gerçekleştiği için WatchGuard'ın bunu engellemesi mümkün değildir.

İyi çalışmalar. 

 
Gönderildi : 13/09/2012 19:59

(@mehmetparlakyigit)
Gönderiler: 495
Honorable Member
 

Siz mac adresine göre engellememi yapmak istiyorsunuz. 

Eğer bu şekilde yapmak istiyorsanız

Aşağıda ki linke tıklayınız

Sekmelerden Mac access control sekmesini açın oradan restrict access by mac address (mac adresine göre erişimi kısıtmak ) seçeneğini aktif ederek engellemek istediğiniz mac adreslerini tanımlayınız eğer bu değilse daha net anlatırsanız yardımcı olmaya çalışırım.

iyi çalışmalar. 

 
Gönderildi : 13/09/2012 20:08

(@MustafaGurkut)
Gönderiler: 20
Eminent Member
Konu başlatıcı
 

Merhaba,

 Eğer DHCP server olarak WatchGuard kullanıyorsanız aşağıdaki yöntemi kullanabilirsiniz. 

İlgili interface altında MAC Access Control sekmesine gelip istediğiniz MAC adresinin bu interface üzerinden veri alış-verişini engelleyebilirsiniz.

Fakat DHCP dağıtıcısı olarak içeride bir server kullanıyorsanız bu trafik WatchGuard'a gelmeden yada geçmeden gerçekleştiği için WatchGuard'ın bunu engellemesi mümkün değildir.

İyi çalışmalar. 

 

Tekrar Merhaba

 Erdal Bey ile Mehmet bey cevaplarınız için teşekkürler. Bu bahsettiğiniz bölümü biliyorum fakat orda bir can alıcı cümle var ki

"Select this check box to restrict which devices can send/receive traffic through this network
interface. You must add a MAC address for each device you want to allow."

 

Dediğine göre buraya mac adresi girildiğinde istediğimiz şeyi yapacak ama son cümleye bakarsanız anlayacağınız gibi sadece oraya eklenen mac adresleri erişim alıyor. Yani ben o kutucuğu aktif edip denemek için bir mac adresi ekledim fakat sadece o mac adresli cihaz erişim alabildi. Diğer tüm cihazları bloklamış oldum. dolayısıyle sanırım bu bölüm deği. Ayrıca mehmet Bey aynen dediğiniz şeyi yapmaya çalışıyorum. 

Teşekkürler

 

 
Gönderildi : 14/09/2012 11:13

(@mehmetparlakyigit)
Gönderiler: 495
Honorable Member
 

Ben teşekkür ederim işlemden sonra olumlu veya olumsuz bizi tekrar haberdar edersiniz.

 İyi çalışmalar. 

 
Gönderildi : 14/09/2012 11:16

(@MustafaGurkut)
Gönderiler: 20
Eminent Member
Konu başlatıcı
 

Ben teşekkür ederim işlemden sonra olumlu veya olumsuz bizi tekrar haberdar edersiniz.

 İyi çalışmalar. 

 

Mehmet Bey, 

 Zaten ben o kısmı geçmişte denemiştim. Oraya mac adresi girildiğinde bloklamak için değil izin vermek için işe yarıyor. Yani benim tüm mac adresleri o kısma girmem maalesef söz konusu bile değil. Dolayısıyle sonuç olumsuz.

 

 

 
Gönderildi : 14/09/2012 13:43

(@erdalorsavas)
Gönderiler: 140
Estimable Member
 

Mehmet Bey merhaba,

 Konu çok açık aslında. MAC adreslerini kontrol etmek istiyorsanız, öncelikle kendi networkünüzdeki MAC adreslerini kontrol altında tutmalısınız. 100 değil 300 tane MAC adresini IP adreslerine bind etmiş birini tanımıştım. İmkansız derken neyi kastettiğinizi ben anlayamadım açıkçası. Sonuçta bir değil iki çözüm birden var ama bu tip bir erişim yönetimi için biraz uğraş vermek kesinlikle gereklidir. 

Sizin istediğiniz şekilde bir yapıyı ise 802.1x ile kurabilirsiniz ki bu uygulama için vereceğiniz uğraş emin olun bunun 10 katı olacaktır.

Daha olmadı SSID'yi gizleyin, çocuklar görmesin 😉

İyi çalışmalar dilerim. 

 
Gönderildi : 14/09/2012 14:03

(@mehmetparlakyigit)
Gönderiler: 495
Honorable Member
 

Erdal bey merhaba 

imkansız derken orayı anlayamadım. Sizde biliyorsunuz ki imkansız diye bir şey yoktur.  🙂 Mustafa bey Erdal beyin dediğine bende katılıyorum. biraz uğraş vermemiz gerekecek bende yapımda watchguard xtm 505 serisini kullanıyorum. Normal bir kullanıcı gelip bilgisayarını boş duran kabloya taksa bile internet erişimi yok hatta bunu biraz abartarak AP cihazımızda bile mac tanımlaması 🙂 yapmadan kullanıcılar internete çıkamıyorlar. 

 
Gönderildi : 14/09/2012 15:59

(@erdalorsavas)
Gönderiler: 140
Estimable Member
 

Erdal bey merhaba 

imkansız derken orayı anlayamadım. Sizde biliyorsunuz ki imkansız diye bir şey yoktur.  🙂 Mustafa bey Erdal beyin dediğine bende katılıyorum. biraz uğraş vermemiz gerekecek bende yapımda watchguard xtm 505 serisini kullanıyorum. Normal bir kullanıcı gelip bilgisayarını boş duran kabloya taksa bile internet erişimi yok hatta bunu biraz abartarak AP cihazımızda bile mac tanımlaması 🙂 yapmadan kullanıcılar internete çıkamıyorlar. 

 

Mehmet Bey selamlar,

 İmkansız derken Mustafa Bey'in "Mehmet Bey, 

 Zaten ben o kısmı geçmişte denemiştim. Oraya mac adresi girildiğinde bloklamak için değil izin vermek için işe yarıyor. Yani benim tüm mac adresleri o kısma girmem maalesef söz konusu bile değil. Dolayısıyle sonuç olumsuz."

 cevabını refere etmiştim. Yoksa ben de imkansız diye birşey yoktur derim genelde.

Gerçekten kurallı, olması gerektiği gibi bir politikaya oluşturulmak isteniyorsa, uğraş vermek şarttır. Benim bildiğim piyasada "armut piş, ağzıma düş" bir cihaz yok zaten 🙂 

Selamlar 

 
Gönderildi : 14/09/2012 16:17

(@mehmetparlakyigit)
Gönderiler: 495
Honorable Member
 

Kusura bakmayın Erdal bey ben yanlış anlamışım. 🙂

Saygılar ve selamlar. 

 
Gönderildi : 14/09/2012 17:10

(@MustafaGurkut)
Gönderiler: 20
Eminent Member
Konu başlatıcı
 

Erdal bey merhaba 

imkansız derken orayı anlayamadım. Sizde biliyorsunuz ki imkansız diye bir şey yoktur.  🙂 Mustafa bey Erdal beyin dediğine bende katılıyorum. biraz uğraş vermemiz gerekecek bende yapımda watchguard xtm 505 serisini kullanıyorum. Normal bir kullanıcı gelip bilgisayarını boş duran kabloya taksa bile internet erişimi yok hatta bunu biraz abartarak AP cihazımızda bile mac tanımlaması 🙂 yapmadan kullanıcılar internete çıkamıyorlar. 

 

Mehmet Bey selamlar,

 İmkansız derken Mustafa Bey'in "Mehmet Bey, 

 Zaten ben o kısmı geçmişte denemiştim. Oraya mac adresi girildiğinde bloklamak için değil izin vermek için işe yarıyor. Yani benim tüm mac adresleri o kısma girmem maalesef söz konusu bile değil. Dolayısıyle sonuç olumsuz."

 cevabını refere etmiştim. Yoksa ben de imkansız diye birşey yoktur derim genelde.

Gerçekten kurallı, olması gerektiği gibi bir politikaya oluşturulmak isteniyorsa, uğraş vermek şarttır. Benim bildiğim piyasada "armut piş, ağzıma düş" bir cihaz yok zaten 🙂 

Selamlar 

 

Tekrar Merhaba,

 Haklısınız elbette imkansız diye birşey yoktur fakat okuldaki Bilgisayar lab.ları dahil olmak üzere toplam cihaz sayısı 130. bu sayıya sadece bilgisayar ve laptoplar dahil. yani öğretmenlerin evdeki bilgisayarları, cep telefonları, ipod, ipad türü cihazlar bu sayıya dahil değil. Belki siz de takdir edersiniz ki 3 katlı okul binasına her giren cihazı getirin mac adresini alacam deyip de alamam.Üstelik sürekli yurt dışından gelen misafirler de oluyor. 

Açıkcası armut piş ağzıma düş durumunu ben de aramıyorum fakat bana göre mantıklı olan bloklanmak istenen cihazın mac adresini girmek. Watchguardın istediği gibi izin vermek istediğin cihazı girmek bana saçma geldi ilk bakışta.

10-15 tane açıkgöz geçinen çocuk yüzünden her gün mac adresi girmekle uğraşmak istemiyorum. Başka yollar aramaya devam edeceğim. Yardımlarınız için çok teşekkürler.

 

 
Gönderildi : 14/09/2012 17:25

(@mehmetparlakyigit)
Gönderiler: 495
Honorable Member
 

Mustafa bey sizi çok iyi anlıyorum. Bu iş size ayrı bir iş yükü katacak

Bu yöntemle network güvenliğini sağlamış olacaksınız.sonuç olarak mac adreslerini 1 kereye mahsus gireceksiniz. Tabii ki bu işlemi yaparken zorlanacaksınız ama kontrol her zaman sizde olacak. Yinede başka yöntemler araştıracağım derseniz siz bilirsiniz 

iyi çalışmalar dilerim. 

 
Gönderildi : 14/09/2012 18:26

(@alibirinci)
Gönderiler: 278
Reputable Member
 

Merhaba, Ortada bir cingözlük varsa  o zaman öğrenci mac adresini değiştirme işlemide yapabilir. Kullanıcı tarafında böyle heyecanlı arkadaşlar varsa bu çözümde bence zayıf kalacaktır. eğer imkan varsa Hotspot bir ürün kullanabilirsin. Bunun ücretsiz ve başarılı olanıda var. Biraz modifiye edilmesi gerek. Hadi ip almasını engelledim ellede ip atanabilir. Bence kurguyu biraz daha derinleştirmek gerekiyor.

 
Gönderildi : 18/09/2012 12:52

(@Anonim)
Gönderiler: 0
 

Tekrar Merhaba,

 Haklısınız elbette imkansız diye birşey yoktur fakat okuldaki Bilgisayar lab.ları dahil olmak üzere toplam cihaz sayısı 130. bu sayıya sadece bilgisayar ve laptoplar dahil. yani öğretmenlerin evdeki bilgisayarları, cep telefonları, ipod, ipad türü cihazlar bu sayıya dahil değil. Belki siz de takdir edersiniz ki 3 katlı okul binasına her giren cihazı getirin mac adresini alacam deyip de alamam.Üstelik sürekli yurt dışından gelen misafirler de oluyor. 

Açıkcası armut piş ağzıma düş durumunu ben de aramıyorum fakat bana göre mantıklı olan bloklanmak istenen cihazın mac adresini girmek. Watchguardın istediği gibi izin vermek istediğin cihazı girmek bana saçma geldi ilk bakışta.

10-15 tane açıkgöz geçinen çocuk yüzünden her gün mac adresi girmekle uğraşmak istemiyorum. Başka yollar aramaya devam edeceğim. Yardımlarınız için çok teşekkürler.

 

Bence bunu yapmak zorundasınız bana kalırsa. 130 cihazı elle gezmeye gerek yok.

softperfect netscanner kuurn ağı tarayın. tüm cihazların kayıtları elinizin altında olur. kopyala yapıştır ile bilgileri girin.

daha sonra DHCP otomatik aralığını daraltın. 5 ip mesela (ağa sonradan dahil olan makinalar bu ip aralığını misafir networkü vb. şekilde tanımlamalar yaparsanız gelen giden misafirler için sorun yaşamazsınız. bu makinaların sadece internette erişimlerini sağlayabilirsiniz.  bu sayede 6. bilgisayar ip alamaz ve işlem yapamaz.

Bu arada tüm personele okula getirilen cihazların Kayıt yapılmadığında internete bağlanamayacaklarını bildirin. Bu işlem için bir mail atmaları yeterli illa cihazı getirmelerine gerek yok. (bir kaç kaynaktan mac adres öğrenebilmeleri için yönlendirin.)

 Ek olarak kayıtlarınız dışındaki makinaları (uyanıkların) biliyorsanız bu makinaların MAClerini ekleyin. ve bu makinalardaki tüm http isteklerini  http://www.okuldersleri.com/  gibi bir siteye yönlendirin.

 
Gönderildi : 18/09/2012 15:39

(@HakanALKAN)
Gönderiler: 125
Estimable Member
 

selam dhcp havuzunda rezerve edilelebilen ip adresi sayısını kısamıyormusunuz. mesela 120 bilgisayarınız varsa geri kalan adresleri excluded edebilirsiniz böylece biraz daha hızlı çözüm olabilir ama bu kez kapalı cihazlardan boşta kalan adresleri alabilir öğrenciler.tam bir çözüm olmayabilir yinede.

 
Gönderildi : 20/09/2012 15:40

Paylaş: