pfsense porta-segurança limite mac para 1 (qualquer mac permitido)

4

Estou tentando configurar os roteadores HP procurve (25xx e 26xx) com segurança de porta. O objetivo é permitir dispositivos e roteadores de clientes. Mas para proibir um switch, AP ou um roteador no modo bridge. Isso deve ser feito por:

  • Limite o MAC a 1 por porta de switch a qualquer momento
  • Qualquer MAC é permitido (contanto que apenas um no momento)
  • Não há problema em alterar o dispositivo / MAC a qualquer momento

Eu ainda não tentei. Mas isso é conseguido fazendo isso na segurança da interface web - > port-security (ou comando cli similar)

learn-mode: static
address-limit: 1
Violation Action: none

Tenho certeza de que limitará a porta a apenas 1 MAC. Mas será que isso será lembrado como "estático" quando o usuário mudar para outro dispositivo?

Atualizado com a solução, versão 2

Precisa ser o modo de aprendizado: limitado contínuo. Ação: nenhum

Funciona muito bem. Isso pode ser feito a partir do CLI para várias portas de uma só vez. Esta linha para a porta 1-23:

port-security 1-23 address-limit 1 learn-mode limited-continuous action none

Sobre o contínuo limitado: link

If 'limited-continuous' is specified, the first 'address-limit' source MAC addresses heard on this port become the authorized addresses. When new authorized addresses are learned, they are stored in a table. When the table has reached its 'address-limit', any new source MAC addresses received on the port constitutes an intrusion. The authorized addresses in this mode will age out of the system, therefore the list of authorized addresses can be dynamic over time.

    
por Tillebeck 13.08.2015 / 15:35

1 resposta

3

Na página 9-10 do manual, afirma-se que: Isto implica que o limite de endereços mac será alcançado e será lembrado até que seja eliminado manualmente.

Uma porta no modo de aprendizado estático (estática do modo de aprendizado) retém um endereço MAC aprendido, mesmo se você reiniciar o switch ou desativar a segurança da porta:

Da documentação:

Você pode autorizar dispositivos para a porta, enquanto ainda permite que a porta aceite outros dispositivos não especificados até que o porto atinja o limite de endereço configurado.

Isso me leva a acreditar que você pode definir o limite de porta em 1 e agir da maneira que você pretende.

No entanto, esta frase:

a porta preenche o restante da permissão de endereço com endereços MAC aprende automaticamente

Leva-me a acreditar no oposto. Esta é provavelmente a origem da confusão. Meu conselho seria montá-lo em uma porta e experimentá-lo, ver o que acontece e você terá uma resposta definitiva , essa imprecisão é bastante irritante.

    
por 13.08.2015 / 17:40