[Frage] Verhindern das Clients IP-Adresse ändern

[TeyTey]

Hallo zusammen,

Ich würde in meinem LAN gerne verhindern das Clients Ihre IP-Adresse ändern können bzw. das wenn Clients Ihre IP ändern diese nicht mehr kommunizieren können. Meiner Ansicht nach wäre das nur möglich mit einer Firewall Regel wie: Wenn Client mit dieser MAC-Adresse versucht Daten zu versenden darf er das nur mit der hinterlegten IP-Adresse.
Ist das überhaupt möglich mit freetz, hat das evtl. schon jemand von euch gemacht?

Danke,
TeyTey

 

[RalfFriedl]

Du kannst es mit iptables versuchen. Für die von Dir gewünschte Funktion braucht man kein Connection Tracking, so dass es auch mit neueren Versionen funktionieren sollte, wo NAT nicht mehr geht.
Du müsstest für jedes Gerät eine Regel in der Art erstellen:

iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -s 192.168.178.X -j ACCEPT
iptables -A FORWARD -m mac --mac-source XX:XX:XX:XX:XX:XX -s 192.168.178.X -j ACCEPT
...
iptables -A FORWARD -i lan -j DROP

 

[gismotro]

Nutze doch die Kindersicherung von AVM.

dort kannst du sagen das nur bekannte Clienten surfen dürfen. Ggf. kannst du sogar Zeiten vorgeben.

 

[TeyTey]

Wow das ging schnell. Vielen Dank werde das ausprobieren sobald sich Zeit findet!

 

[gismotro]

Link: http://service.avm.de/support/de/SK...g-mit-FRITZ-Box-Kindersicherung-einschraenken

 

[Simon..]

Oder wenn du ein komplexeres iptables-Regelwerk hast, bei dem du noch nach anderen Kriterien filtern willst:

## macip
# Check for MAC-IP match. If no valid mac/ip combination, log-and-reject.
$IPT -N macip
$IPT -A macip -s x.x.x.x -m mac --mac-source y:y:y:y:y -j RETURN
[...]
$IPT -A macip -j LOG --log-prefix "Invalid MAC-IP:"
$IPT -A macip -j REJECT

##
[...]
$IPT -A INPUT -j macip
$IPT -A FORWARD -j macip
[...]

Außerdem solltest du dir bewusst sein, dass ähnlich leicht wie die IP- auch die MAC-Adresse geänderte werden kann. Ein bösartiger lokaler Nutzer muss nur die richtige IP-MAC-Kombination wissen und schon läufte diese "Sicherung" ins Leere.

Ciao,
Simon