Motivazione : voglio essere in grado di creare regole di traffico in uscita diverse per dispositivi diversi sulla mia rete, ad es. il mio laptop può creare tunnel VPN, mentre i laptop dei miei figli possono solo collegare DNS / HTTP / HTTPS e sono bloccati su un server DNS specifico. Posso creare diverse regole firewall sul mio router per diversi blocchi di indirizzi IP, ma non voglio che questo sia facilmente sovvertito dai dispositivi che sono in grado di selezionare il proprio indirizzo IP nell'intervallo "Consenti".
Quindi questa domanda riguarda se è tipicamente possibile e pratico impedire a un dispositivo su una rete Wi-Fi domestica di selezionare il proprio indirizzo IP (all'interno dell'intervallo di rete), utilizzando comunemente - router / router di internet domestici installati . In altre parole, puoi impedire ai dispositivi di assumere qualsiasi indirizzo IP statico nell'intervallo normale della WLAN.
Supponiamo che io abbia già e sappia:
- configurazione del router wifi per intervalli di pool DHCP
- configurazione del router wifi per indirizzi IP statici DHCP
- router wifi Filtro indirizzi MAC ecc.
Posso aggiungere un lease statico per il dispositivo in base al suo indirizzo MAC, e quando il dispositivo è configurato per DHCP assume questo indirizzo. Supponiamo però che io non abbia il controllo al 100% delle impostazioni di rete del dispositivo, che qualche altro utente possa cambiarle, ad esempio potrebbero passare da DHCP a statico e configurare un indirizzo IP di loro scelta.
La mia osservazione è che qualunque sia l'indirizzo IP statico scelto funziona e il router instraderà i pacchetti per quel client (ha accesso a livello wifi, ad esempio credenziali WPA2 ovviamente), indipendentemente dal fatto che l'indirizzo IP scelto sia all'interno del DHCP del router intervallo o un intervallo riservato.
La mia conclusione è che non è possibile creare regole firewall che impediscano il traffico in uscita per determinati client in base a un intervallo di indirizzi IP, poiché i client sono liberi di accedere a un indirizzo IP statico libero all'interno di tale intervallo. Ciò sembra accadere indipendentemente dal fatto che esista una prenotazione DHCP per l'indirizzo MAC del client, il che ha senso perché DHCP è inattivo per il client in quel punto.
Mi sembra che più router o più VLAN siano l'unico modo per ottenerlo?
Esempio : Voglio impedire un dispositivo consentito ma solo parzialmente attendibile sulla mia WLAN con MAC 12:34:56:78:9a:bc
dai pacchetti di routing con sorgente nell'intervallo CIDR 10.1.1.0/25
, che è riservato e all'esterno il mio intervallo DHCP.