MAC Address Definitions

Source MAC address lists can be used in Firewall rules.

From the built-in help:  

Source MAC addresses: Select a MAC address list definition, describing from which MAC addresses the packets are originating. If selected, packets only match the rule if their source MAC address is listed in this definition. Note that you cannot use a MAC address list in combination with the source Any. MAC address list definitions are defined on the Definitions & Users > Network Definitions > MAC Address Definitions tab.

Source MAC address lists can be used in Firewall rules.

From the built-in help:

Yep, I read it. I thought so. I was just double checking.

Jim, you're understanding it correctly - it's a neat way to avoid creating a separate host with static mapping for each internal IP that you want to do something special with.  You can just use "Internal (Network)" and limit the rule's application to a list of MAC addresses.

Unfortunately, since all external IPs come from the MAC of the last-hop router in front of your UTM, you can't use the same trick for public IPs.

Cheers - Bob

Hello,

I am sorry to enter this conversation here but can I ask you a similar question BAIfson?

Your last sentence, "Unfortunately, since all external IPs come from the MAC of the last-hop router in front of your UTM, you can't use the same trick for public IPs."

Question, does this fact also apply if I try to filter some clients connected via SSL-VPN to my UTM with such a firewall/mac filtering rule?

My goal shall be to restrict some of my roadrunners who connect via SSL-VPN with a special FW rule combined with the mac address filter. 
I want to force that only a couple of devices with special mac & ad account should be
able to access some resources of my network.
(I know about to fake mac addresses...[;)]

But this should be one of my steps...

Thank you for any help in this case in advance.

Best regards

Actually, it's easier than that with people that sign in to a VPN.  When you login to the SSL VPN, the "Junkz (User Network)" object is populated with the IP assigned in "VPN Pool (SSL)."  So, you can make firewall rules that just affect one or several VPN users.

It's easier with 'Automatic Firewall rules' though... Rather than trying to block or allow some users, it's probably clearer to create a second SSL VPN Profile for these users and put the Hosts and Networks they can access in 'Local networks'.  The users in the original Profile will continue to have access to the 'Local networks' in their Profile.

Cheers - Bob

Ok, thank you very much for clarification here.

But one question remains. How can I ensure that a user is not able to use his SSL-VPN account, which is the AD account, to connect to the company's network with a non aproved hardware?
Because he can install the SSL-VPN software on any pc he wants but only aproved hardware should be used for business.

Best regards 
Junkz

There isn't a way to do this.  Tunnel traffic will have the MAC of the VPN virtual adapter, which is the same for every install.  The closest you can get, is that you do not allow them access to the installer and you do the installs yourself.  You can hide the VPN (Remote Access) section from the user portal at Management > User Portal > Advanced.

That being said, if you have a savvy enough user to figure it out, you can use any OpenVPN compatible client and copy over the config from an existing install.

This is really less a technical issue, than a policy one.  Make certain that your users are aware of this approved-hardware only policy in writing.  If you find anyone violating it, report it to management and make certain this policy has the backing of management.  A "do not" policy is worthless without some teeth behind it.

Thank you very much for this explanation. 
Now I can stop my search for this option.
I was in doubt of the fact that the originating mac reaches the UTM unmasked....
Thank you for clearance at this point here.