我正在运行嵌入的 pfsense (v 1.2.3) 作为我的主路由器。我想阻止来自未知主机的所有流量。我已将 DHCP 服务器设置为仅向某些预定义(基于 MAC 地址)主机提供租约。我想阻止的是有人在机器上设置静态 IP 并能够使用我的系统。是否有可能阻止这种情况?如果可以,我究竟该如何实现?我知道他们必须物理连接,或者可以访问我的无线网络,但我试图使用路由器作为另一个安全级别,而且我对基于 IP 地址的儿童设备有一些时间限制,我不希望他们能够仅通过分配静态 IP 地址来规避这些限制。
答案1
您可以在 DHCP 服务器中使用静态 ARP,并且只允许定义的主机获取 IP。如果您采用完整的静态 ARP 路由,则需要使用 2.0,最近在稳定版本中发现了一些问题,但它在 2.0 中运行良好。
答案2
pfSense 可以进行 MAC 过滤,如果您担心孩子们的机器会干扰 IP 以绕过出站过滤,我只会根据 MAC 地址进行过滤。只需确保 pfSense 盒和客户端之间没有另一个 NAT 路由器即可。
配置页面上的“启用静态 ARP 条目”将允许您仅列出您想要在给定接口上访问路由器的 MAC——这应该可以阻止未知/不需要的用户。
答案3
我刚刚想到了这一点,我希望得到有关这个想法优点的反馈:
制定一条规则来阻止我的 LAN 上的所有传出流量。然后制定规则以允许来自已知主机的流量(基于其 IP 地址),并赋予允许规则更高的优先级。那么,某人使用静态 IP 访问互联网的唯一方法是将静态 IP 设置为已使用的 IP,这会导致问题。我可以稍微移动我的 IP 地址,以便我可以为 /28 和 /29 创建规则,从而最大限度地减少允许流量所需的规则数量。- 有什么想法吗?