Comunidad FORTIGATE.es

ante todo, buenas tardes, por ahi tendria que buscar mas en el foro, pero la verdad toy hasta las manos de tiempo, la pregunta es la siguiente, tengo usuarios identificados por IP, es posible hacerlo por MAC, ya que tengo mucho trafico y es una maquina que me cambia la IP, o sea el jefe se va y ponen la IP de esa maquina
desde ya muchas gracias
hugo

hola, como estas? si tenees dhcp en la internal lo que podrias hacer es reservar esa ip a la mac que necesites.

el comando es:
config system dhcp reserved-address
edit <name_str>
set ip <address_ip>
set mac <address_hex>
set type regular
end

Espero que te sirva

saludos
Gabriel

buen dia leo, ante todo gracias por contestar, amable como siempre, te comento, no uso dhcp uso ip fija, y de lo que dijiste no entendi si solo la reserva la IP a cierta MAC
desde ya gracias
hugo

gabriel perdona por que te llame leo, pero tengo un amigo que es gabriel y le digo leo, fue costumbre

Hola, como estas Hugo? Mira cuantas pc tienes detras del fortigate? Si no son muchas lo mas sencillo para contralar en tu caso es tener un dhcp en el fortigate reservando la ip para la mac-address que necesites, asi ninguna otra pc te puede poner esa ip.

Todo depende de la cantidad ya que tendras que ir por cada pc cambiando la configuracion de red a dhcp.
Pero controlas el problema que tenes.

saludos
Gabriel

gabriel, creo que estaria en la misma, ya que en la maquina en particular que es la que me cambia la IP, sacarian DHCP y pondrian la IP fija del jefe cuando el no se encuentre, tendria que bloquear las propiedades de la LAN en esa maquina, pero pense que por ahi lo podia hacer con el forti, pero parece que no.
desde ya gracias
hugo

Hola, Fortinet es un firewall de perimetro si tus usuarios hacen cambios en la lan y tienen permisos para hacerlo sera muy dificil de controlarlo.
No deberian tener permisos, o deberias llamar la atencion a esas personas que te hqacen eso.O empezar a implementar autenticacion para navegacion.

saludos
Gabriel

hola gabriel, te entiendo tengo la mayoria de las maquinas sin ese permiso, pero algunas no, por eso la consulta de hacerlo por mac, no hay problema lo implementare de otra manera
gracias
hugo

Hola, ok... La idea es tratar de autenticar o identificar de otra manera los usuarios que no sean solo por ip, podrias autenticarlos contra usuarios locales, ad,ldap,radius y asi tenerlos mas controlados.
O como vos quieras, el problema son los cambios que ellos mismo hagan antes de que el pedido llegue al firewall.

saludos
Gabriel