¡Te damos la bienvenida al nuevo sysarmy --help! Para recuperar tu usuario pedí un password reset.

Bloqueo/permitir por dirección MAC

Hola, qué tal? Tengo varias preguntas sobre este tema. A lo mejor alguien sabe o tiene alguna sugerencia para llegar a lo mismo haciendolo de otra manera.



La cuestión es que, en principio, necesito leer la dirección MAC de los visitantes a una URL especifica.
Arrancando por lo básico, esto es posible? Es legal? Desde el htaccess no logré hacerlo.

El objetivo es poder bloquear o permitir el acceso de ciertas direcciones MAC cuando sea necesario, según el caso.
Actualmente lo vengo haciendo a través de la IP, pero me sería más efectivo y seguro hacerlo de esta nueva manera.



En caso de que esto no fuese posible, se les ocurre alguna otra alternativa para reconocer el dispositivo y poder hacer lo mismo?



Gracias!

Respuestas

  • Mi pregunta es: ¿Dónde están los clientes que visitan tu url?

    Si tus visitantes están en Internet, no tenés forma de saber sus direcciones MAC, solamente vas a ver la mac del router que hace de gateway con el resto de tus visitantes, pero no va a servirte de nada, porque todo el tráfico va a llegar desde el mismo origen (tu router).

    Esa info, de todos modos, podés obtenerla sniffeando el tráfico de red que entra a tu servidor (web, o el que sea, apuntado por la url). Tcpdump puede servirte, wireshark, etc, cualquier sniffer (pcap).

    En ese caso, el bloqueo que podés llegar a hacer, como mucho, va a ser a nivel de IP con un firewall en L3.

    Si querés que solamente ciertos y determinados usuarios puedan acceder al sitio, o a cierta info contenida, te conviene mostrarle a todo el mundo la url, y los que necesiten acceder a información "privilegiada" lo hagan en el mismo sitio mediante un login. Esto sería un bloqueo/filtro en capa 8 (u 8, depende de cómo se mire jaja).

    Por otro lado, si tu idea es que solo algunos usuarios remotos puedan acceder a la url, podés publicar el servicio en una ip privada (no directamente en Internet), y a los usuarios que querés que entren les das el acceso via VPN (Ipsec/l2tp u openvpn).

    Espero no haberte enredado mucho, es una pregunta bastante genérica.

    Slds!
  • Para lo que buscás he visto una implementación con el ISC-DHCP que entrega IPs en rango con un default gateway para la zona privilegiada y direcciones en otra red con otro gateway, todo en la misma LAN por no contar con switches administrables. Esa soución era a medida hecha para un lugar en el que trabajé.

    Para dar de alta MACs una web que está en la misma red de los equipos a altas bajas hace la consulta whois-arp para el visitante y así el formualrio con loguin recoge la MAC (como los routers hogareños para MAC-clone).

    Algo más serio sería implementar VLANs y algún mecanismo para autenticar, luego precipiar en la VLAN ( 802.1X tal vez? o filtro por MAC en el swtich que te conmuta en la VLAN?). Sobre esto último no te puedo decir casi nada.
Este hilo ha sido cerrado.