Motivación : quiero poder crear diferentes reglas de tráfico de salida para diferentes dispositivos en mi red, por ejemplo. mi computadora portátil puede crear túneles VPN, mientras que las computadoras portátiles de mis hijos solo pueden conectar DNS / HTTP / HTTPS, y están bloqueadas a un servidor DNS específico. Puedo crear diferentes reglas de firewall en mi enrutador para diferentes bloques de direcciones IP, pero no quiero que esto se subvierta fácilmente por dispositivos que pueden seleccionar su propia dirección IP en el rango "permitir".
Por lo tanto, esta pregunta es acerca de si es típicamente posible y práctico evitar que un dispositivo en una red wifi doméstica seleccione su propia dirección IP (desde dentro del rango de la red), usando comúnmente -instalados wifi / enrutadores de internet . En otras palabras, ¿puede evitar que los dispositivos asuman una dirección IP estática en el rango normal de la WLAN?
Supongamos que ya tengo y sé:
- configuración del enrutador wifi para rangos de agrupación DHCP
- configuración del enrutador wifi para direcciones IP estáticas DHCP
- filtrado de direcciones MAC del router wifi, etc.
Puedo agregar una concesión estática para el dispositivo en función de su dirección MAC, y cuando el dispositivo está configurado para DHCP, asume esta dirección. Pero suponga que no tengo el 100% de control de la configuración de red del dispositivo, que algún otro usuario puede cambiarlos, por ejemplo, podrían cambiar de DHCP a estático y configurar una dirección IP de su elección.
Mi observación es que cualquier dirección IP estática que se elija funciona y el enrutador enrutará los paquetes para ese cliente (tiene acceso a nivel wifi, por ejemplo, credenciales WPA2), independientemente de si la dirección IP elegida está dentro del DHCP del enrutador rango o algún rango reservado.
Mi conclusión es que no puede crear reglas de firewall que eviten el tráfico saliente para ciertos clientes en función de un rango de direcciones IP, ya que los clientes pueden tomar una dirección IP estática gratuita dentro de ese rango. Esto parece suceder independientemente de si existe una reserva DHCP para la dirección MAC de ese cliente, lo que tiene sentido porque DHCP está inactivo para el cliente en ese momento.
¿Me parece que la única forma de lograr esto son los enrutadores múltiples o las VLAN múltiples?
Ejemplo : quiero evitar que un dispositivo permitido pero solo de confianza parcial en mi WLAN con MAC 12:34:56:78:9a:bc
enrute paquetes con una fuente en el rango CIDR 10.1.1.0/25
, que está reservado y fuera mi rango DHCP.