Denegar el acceso a Internet a un ordenador o varios por su MAC address

El ejemplo que vamos a ver consiste en crear un filtro que nos permita denegar el acceso a internet a 2 PC’s de nuestra red, pero en lugar de evitarlo por su dirección IP, vamos a hacerlo mediante su direcciones MAC. De esta forma nos aseguramos que aunque cambien de IP el acceso a internet se le niegue igualmente.

Primero debemos de conocer la MAC; una forma sencilla es hacer ping al PC o PC’s que nos interese (si es que no ha habido tráfico de paquetes anteriormente entre el nuestro y el otro), y a continuación en MS-DOS ejecutamos el comando arp -a , y ya nos indica las direcciones físicas de cada equipo:

Como en ejemplos anteriores accedemos al router mediante TELNET en una sesión MS-DOS.

Para ello vamos a la opción 21 Filter Set Configuration del menú principal, en la que configuraremos los filtros.

Creamos uno, en este caso el número 9 y le llamamos Bloqueando_MACs.

Y creamos la regla 1 del filtro 9, pero antes debemos de cambiar el tipo de filtro pulsando la barra espaciadora y cambiamos de TCP/IP Filter Rule a Generic Filter Rule.

y cubrimos los siguientes campos:

Nos centramos en los campos siguientes:

Filter Type : Generic Filter Rule

Active: Yes

Offset: 6 (en el paquete que le llega al router, la dirección MAC comienza en el 7º byte, por lo que debemos de evitar los 6 primeros)

Length: 6 (número de bytes que tiene la MAC)

Mask: FFFFFFFFFFFF (con esta máscara bloqueamos solo esta MAC, es el “equivalente” a la conocida submask 255.255.255.255)

Value: 0080225e5d28 (dirección MAC del PC)

Action Matched: Drop (en caso de cumplirse la condición, se denegaría el acceso a los paquetes de este PC)

Action Not Matched: Check Next Rule (porque vamos a añadir otra regla a este filtro). Añadimos la regla 2 del filtro 9 para otro PC

y como no hay mas reglas, le indicamos que si no se cumplen las anteriores, que se permita el paquete de datos quedando el filtro como se indica a continuación:

Ahora debemos de indicarle al router que filtro debe de aplicar a todos los paquetes que le llegan, para eso en el menu 3.1 LAN Port Filter Setup, ponemos el filtro 9 (el del ejemplo) en device filters, pero no en protocol filters que son usados para los filtros TCP/IP.