Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!

Brannmurregel for å filtrere på Mac addresse


Christian

Anbefalte innlegg

Jeg har satt opp Sophos XG  som så langt fungerer fint, har fått satt opp VPN og noen enkle regler for å tillate, eller ikke tillate tilgang. 

 

Det jeg ønsker nå er å sette opp en regel som tillater tilgang til f.eks HSTouch, altså åpne en port, men kun fra gitte mac adresser, jeg har forsøkt det meste jeg kan komme på. Jeg greier å filtrere på IP. Men om jeg setter Mac adressen til telefonen min så kommer jeg ikke inn.  Er det noe slikt at Mac-adressen forsvinner når den går igjennom ett bridget modem ? 

Lenke til kommentar
Del på andre sider

Jeg kjenner ikke til Sophos spesifikt men å filtrere på mac adresse krever at du har en lag 2 brannmur. Og mac adresse er kun synlig på lokal link, så hvis planen var å bruke brannmurregler med mac adresse når du kobler til med VPN er det ikke mulig.

  • Like 1
Lenke til kommentar
Del på andre sider

Takk for svar. Nei planen var å slippe å bruke VPN fra kjente MAC adresser.... 

 

Jeg forsøkte å åpne for alle og sperre mac adressen til telefonen, men jeg kom igjennom likevel, så det er tydelig at brannmuren ikke leser mac adressen som kommer inn. 

Lenke til kommentar
Del på andre sider

Ok, så Geofency sender en oppdatering til Homeseer-serveren med posisjonsoppdatering? Og du vil at det skal virke uten VPN når du ikke er hjemme

 

Når du er hjemme og koblet til wifi vil mobilen kunne kommunisere direkte med homeseer og du trenger ingen brannmurregler. Men du vil ikke kunne bruke public ip med mindre du konfigurerer loopback/hairpin-NAT på Sopohos.

Lenke til kommentar
Del på andre sider

2 timer siden, Christian skrev:

Er det noe slikt at Mac-adressen forsvinner når den går igjennom ett bridget modem ? 

 

Mac-adressen "forsvinner" med en gang du passerer en ruter, så det vil ikke være mulig å bruke som regel fra WAN-siden. Og som det også sies, mac-adresser er lett å forfalske og bør ikke brukes som sikkerhet.

 

22 minutter siden, Christian skrev:

Nei. Gefoency sender fra mobiltelefonen. på f.eks http://minip:mingeofency. fra wan til lan

 

Jeg bruker også Geofency og hadde samme utfordring. 

Jeg løste det med å sette opp en egen Nginx-server (med PHP og TLS-kryptering) på en egen port. Denne har jeg HTTP Basic Auth på, i tillegg til at brannmuren bare slipper igjennom norske IP-adresser.

Denne Nginx-serveren kjører en 2-3 linjers PHP-fil, som egentlig bare tar i mot henvendelsen og sender data videre mot "http://127.0.0.1/phlgeofency" (eller hva den nå heter).

 

Ellers har jeg valgt å ikke åpne for HSTouch fra WAN-siden, siden trafikken er ukryptert. Jeg må da koble på med VPN først og så starte HSTouch.

Webgrensesnittet til HS har jeg også bare åpnet for kryptert via en Nginx reverse proxy.

Lenke til kommentar
Del på andre sider

Har du tilgang til en webserver på nett med TLS-kryptering?

I så fall kan det kanskje være det enkleste - sett opp Geofency til å rapportere mot en enkel PHP-fil på den, PHP-filen sender det så videre til HS-serveren din. Da trenger du bare åpne for IP-adressen til webserveren din i brannmuren, da alle Geofency-forespørslene vil komme fra den. :) 

Lenke til kommentar
Del på andre sider

Men litt kjedelig at man ikke får autentisert på MAc, selv om dette kanskje ikke er den sikreste måten, så hadde det vært veldig praktisk å kunne ha de forskjellige portene åpne hele tiden, men kun mot fast MAc, men er det ikke mulig så er det ikke mulig.. 

Lenke til kommentar
Del på andre sider

Dessverre, som andre har påpekt. Brannmuren ser kun IP-adresser og ikke MAC-adresser, og slik er det meningen at det skal være også fra begynnelsen av. Kort forklart, din mobiltelefon sin MAC-adresse er kun synlig på ditt lokale nettverk hjemme og ikke synlig for eks Google, VG osv. Når du er koblet til mobilnettet(3G, 4G osv) så er det kun mobilleverandøren din sitt mobilsystem(kort forklart) som ser din MAC-adresse.

 

Dersom du har behov for å eksponere tjenester på internett så bør du enten sørge for at tjenesten du eksponerer håndterer sikkerhetsutfordringene knyttet til det, alternativt bruke en VPN-forbindelse hjem til deg. VPN skaper da en link mellom deg(mobilen din) og ditt interne nett. Du må da naturligvis eksponere VPN-tjenesten, men med ett tilstrekkelig godt brukernavn, passord og gjerne ett sertifikat så er det brukbart trygt :)

Lenke til kommentar
Del på andre sider

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.