Gateway autenticado com Apache, Iptables e CGI em shell
Procurando uma solução que fosse ao mesmo tempo simples de ser implementada e de grande eficiência comparados aos gateways mais sofisticados que empregam bancos de dados e etc, cheguei a esta solução ideal para ser usada em provedores wireless ou a cabo. Ela ainda está em desenvolvimento e dada a sua enorme simplicidade de seu conceito pode servir de base para projetos mais elaborados.
[ Hits: 86.015 ]
Por: Carlos Affonso Henriques. em 27/07/2007
Preparando o Apache
# groupadd -g 48 -o apache
# useradd -u 48 -o -g apache -d /mnt/sda6/httpd -s /bin/false apache
Agora editaremos nosso /etc/apache/httpd.conf e faremos as seguintes alterações:
User apache
Group apache
#Especifique o diretório onde está seus documentos
DocumentRoot "/mnt/sda6/httpd"
#No parâmetro <Directory...> faça o mesmo.
<Directory "/mnt/sda6/httpd">
2. Configurando o SSL no Apache
3. A topologia da rede
4. O firewall
5. A página de autenticação
6. O arquivo de contas
7. O script CGI de autenticação
8. O script para desfazer a autenticação
9. A tabela ARP estática
10. O controle de banda
11. Notas e agradecimentos
Filtro de conteúdo autenticado com níveis de privilégio
L7-filter (funcionando) no Slackware 10.2
Reconhecimento de placas de veículos com OpenALPR
Balanceamento de carga e alta disponibilidade com Bonding Driver e Iproute2
Bypass de firewall com tunelamento por DNS
Descobrindo chave WPA2 com Aircrack-ng
Vulnerabilidade e segurança no Linux
Instalando o Nagios via APT ou YUM
Olá Amigo,
Bom, para deixar seu artigo ainda mais rico eu gostaria de dar uma opinião! No caso de um hijack bem feito (roubo de seção), quando o cliente cai e em seguida entra o hijack seu arping vai consultar ele tranqüilamente! Concorda!? Espero que sim, pois eu já fiz testes com isso e infelizmente da certo! A solução é simples, ao invés de fazer o servidor consultar quem está de pé ou não, o que dependendo do número de estações tem um tempo elevado, eu sugiro mudar para o comando at. Como já uso o servidor Radius, foi fácil, no comando AT eu agendo uma verificação pra saber se o IP tal é do fulano de tal conectado no radius, aí sim, se não for a regra dele é derrubada! Pra substituir o uso do radius, pode-se pensar em cookie, por exemplo!
T+
Boa! nem havia me ocorrido o at.
Quando elaborei aquele while de arping, pensei em coloca-los isoladamente rodando sob um shell filho do mac_accept4.cgi que seria chamado em background, mas esbarrei em um problema... não entendí ainda o por que de não conseguir rodar um loop em um shell filho a partir de um CGI, mas é uma coisa que estou bolando e a sua idéia do at foi grande.
Obrigado pela dica, e espero que tenha gostado do artigo.
Ola tem como fazer a autenticação só por usuário, sem o MAC e ip, pois trabalho em uma faculdade e preciso cadastrar todos os alunos.
É mais fácil ainda, a única razão para eu atrelar o ip ao mac address é o controle de banda, pois provedores em geral possuem planos de velocidade diferentes e se não houver vínculo entre o IP e o login e senha o usuário poderia configurar um IP manualmente e usar uma velocidade maior do que a contratada.
Como o cliente será diretionado para autenticação, sendo que não há nenhuma regra redirecionando sua navegação para a porta 443 obrigando-o a autenticar antes de navegar
òtima dica para o combate de ataques do TIPO MITM, originados por arpspoof.
Sobre a questão de atrelar MAC, podemos fazer isso com PHP, no momento que o cliente se cadastra e cria seu usuario e senha, podemos tranquilamente pegar o MAC dele com a função, abaixo tem um link explicando como fazer.
http://scriptbrasil.com.br/forum/index.php?showtopic=70543
No momento que o usuario/cliente se cadastrar, pode ser gerado o arquivo do DHCP atrelando um ip para o mac capturado.
Recomendo ultilizar um banco de dados para salvar as informações dos clientes/usuarios.
O freeradius tem as tabelas prontas em vários tipos de BD.
Qualquer duvida, estou a disposição.
contato@douglassironi.com
Patrocínio
Destaques
Atenção a quem posta conteúdo de dicas, scripts e tal (1)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 72.971 pts -
Fábio Berbert de Paula
2° lugar - 58.298 pts -
Clodoaldo Santos
3° lugar - 45.866 pts -
Buckminster
4° lugar - 26.512 pts -
Sidnei Serra
5° lugar - 26.422 pts -
Daniel Lara Souza
6° lugar - 17.956 pts -
Mauricio Ferrari
7° lugar - 17.525 pts -
Alberto Federman Neto.
8° lugar - 17.525 pts -
Diego Mendes Rodrigues
9° lugar - 15.638 pts -
edps
10° lugar - 14.833 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
