Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Как заблокировать клиентов, которые используют подмененные MAC-адреса?, UniFi Network
 
#1
22.05.2025 21:15:00
Где в приложении UniFi Network можно заблокировать клиентов, использующих подмененные MAC-адреса? Большое спасибо.
 
 
 
#2
23.05.2025 18:17:00
Думаю, уже было достаточно ясно сказано 3-4 людьми, что это невозможно в UniFi. Ни одно правило брандмауэра этого не сделает.
 
 
 
#3
23.05.2025 15:19:00
Моя рекомендация будет зависеть от того, что именно пытаются заблокировать. Если устройство, которое нужно заблокировать, использует Wi-Fi, у вас есть возможность назначить неизвестным устройствам профиль со скоростью 5 кбит/с для загрузки/отдачи, а известным устройствам — те скорости, которые вы хотите им предоставить. Таким образом, случайные устройства смогут подключаться, но интернет будет практически нерабочим по обычным стандартам просмотра веб-страниц. Если проблема с проводными устройствами, вариантов меньше, так как это потребует использования системы аутентификации устройств, описанной выше, с RADIUS-сервером. В конечном итоге, вам нужно решить, сколько усилий вы хотите приложить к решению, которое ищете. Если цель — просто не пускать семью в сеть в определенные часы, это будет непростая задача. Если же речь идет о поддержании порядка среди клиентов, это будет достойным вложения времени. Cheers
 
 
 
#4
23.05.2025 14:23:00
Да. Именно об этой настройке я говорю. В данном случае сеть 'Open' с порталом Unifi, который принимает ваучеры. Когда настройка "Private Wi-Fi Address" отключена, устройство подключается. Если выбрано "Fixed" или "Rotating", устройство постоянно отключается и подключается. Я просмотрел правила брандмауэра, но не вижу ни одного, который бы по умолчанию блокировал все, а затем разрешал подключение на основе того, является ли MAC-адрес одним из сгенерированных "Private Wi-Fi Address".
 
 
 
#5
23.05.2025 14:01:00
Настройки ведутся в разделе конфигурации Wi-Fi на iOS (Настройки/Wi-Fi/<SSID>), и там есть пункт "Приватный Wi-Fi-адрес". Варианты: Выкл., Фиксированный и Изменяющийся. Кстати, если сеть использует WPA2 или более современный протокол, то по умолчанию на устройстве iOS выбран режим "Фиксированный", то есть он генерирует MAC-адрес, но не меняет его, если не использовать функцию "Забыть сеть". Используйте приватные Wi-Fi-адреса на устройствах Apple - Служба поддержки Apple
 
 
 
#6
23.05.2025 13:50:00
Нет, не то. Рандомизированные MAC-адреса — это отдельная настройка от "Ограничения отслеживания IP-адресов". Еще раз: в UniFi нет такой настройки, которая блокирует доступ к MAC-адресам с установленным локально назначенным битом.
 
 
 
#7
23.05.2025 13:08:00
Я имею в виду настройку 'Ограничить отслеживание по IP-адресу' в iOS. Когда она включена, устройство использует рандомизированный MAC-адрес, верно? Эти рандомизированные MAC-адреса идентифицируются, как описано @dlow выше. Где-то в моём сетевом приложении я думаю, есть правило, которое блокирует доступ для устройств, использующих эти рандомизированные MAC-адреса. Подскажите, где именно в сетевом приложении это правило?
 
 
 
#8
23.05.2025 11:06:00
В UniFi нет настройки, чтобы отсекать приватные MAC-адреса. Если только бит multicast не установлен, MAC-адрес есть MAC-адрес есть MAC-адрес. Сомневаюсь, что изменение этой настройки на устройстве как-то повлияет на его способность поддерживать соединение с UniFi AP. Если настаиваете, то обходной путь — запрет по умолчанию и ведение разрешительного списка, разрешая только одобренные устройства; или использовать RADIUS-сервер, который позволяет выполнять манипуляции со строками или использовать regex для выбора на основе бита, управляемого локально. "'private ip'" — это не настройка iOS. Пожалуйста, уточните, что вы имели в виду. Вы имели в виду Private Relay или Limit IP Address Tracking? Это сервис на уровне приложения, полностью независимый от WiFi или MAC-адресов.
 
 
 
#9
23.05.2025 10:41:00
Да, вот это я и имел в виду - "рандомизированные MAC-адреса". Те, которые устройства создают (в наши дни по умолчанию), чтобы предложить больше приватности. У меня есть набор устройств Apple, которые смогли оставаться подключенными, как только они отключили "private ip". Я не использую RADIUS-сервер. Сейчас я пытаюсь вспомнить, где именно в сетевом приложении (или где-то еще) это изменение было сделано. Кто-нибудь видел обходной путь к тому, что у Ubiquiti нет такого фильтра?
 
 
 
#10
23.05.2025 05:04:00
Если ты имеешь в виду рандомизированный MAC-адрес, то второй шестнадцатеричный символ будет "2", "6", "a" или "e". Unifi такой фильтр не предлагает. Если настроить собственный RADIUS-сервер, можно запрограммировать его на блокировку этих MAC-адресов. Если кто-то выберет поддельный MAC-адрес, который выходит за рамки этих диапазонов, то тебе не повезёт. Нет никакой аутентификации для MAC-адресов.
 
 
 
#11
22.05.2025 22:59:00
Я предполагаю, что речь идет о диапазоне ожидаемых MAC-адресов для 'приватности', а не о 'поддельных', как и просили. Многие люди используют слова, которые звучат похоже, но не точно соответствуют тому, о чем они говорят. Завидую!
 
 
 
#12
22.05.2025 21:48:00
Лучше всего не строить политику безопасности на чём-то, что может быть увидено в открытом тексте в эфире любым прохожим. 802.1X — это правильный уровень для решения этой проблемы. Авторизуйте устройства, требуя от них предъявления подписанного сертификата, изначально распространяемого с помощью MDM.
 
 
 
#13
22.05.2025 21:32:00
Как UniFi узнает, что это подделанный MAC-адрес?
 
 
 
Страницы: 1
Читают тему (гостей: 1)