Gateway autenticado com Apache, Iptables e CGI em shell
Procurando uma solução que fosse ao mesmo tempo simples de ser implementada e de grande eficiência comparados aos gateways mais sofisticados que empregam bancos de dados e etc, cheguei a esta solução ideal para ser usada em provedores wireless ou a cabo. Ela ainda está em desenvolvimento e dada a sua enorme simplicidade de seu conceito pode servir de base para projetos mais elaborados.
[ Hits: 86.027 ]
Por: Carlos Affonso Henriques. em 27/07/2007
O controle de banda
O controle de banda é essencial para provedores, especialmente a provedores wireless onde o tráfego precisa ser restringido no que tange velocidade no nó que vai do gateway até o cliente e não apenas do gateway para fora, sob pena dos APs ou bridges travarem por excesso de tráfego. Eu particularmente prefiro implementar APs baseados em PCs onde em um único AP coloco todos os serviços necessários... DNS, proxy Squid e autenticação, mas essa não é a realidade da maioria dos pequenos provedores que não raro pertencem a pessoas que sequer são da área de TI e que adquirem equipamentos baseados no "vox populi".
Esta técnica de controle de banda é muito eficiente, pois permite que você coloque um grande quantidade de clientes em bridges de baixíssimo custo, eu mesmo fiz isso em um condomínio onde ficam pendurados 71 clientes em um AP Ovislink WL-5460AP que é considerado um AP ordinário, mas que de ordinário só tem seu gabinete que parece uma saboneteira!
Primeiramente vamos criar as classes raízes do controle de banda. Podemos colocar estas linha no nosso /etc/rc.d/rc.local:
Em meu caso ppp0 é uma PPPoE de um serviço ADSL de 2Mb/s.
Agora criaremos um script para controlar a banda de cada uma das estações de nossa rede. Este script deve ser iniciado junto com a máquina e após as interfaces de rede estarem levantadas
Esta técnica de controle de banda é muito eficiente, pois permite que você coloque um grande quantidade de clientes em bridges de baixíssimo custo, eu mesmo fiz isso em um condomínio onde ficam pendurados 71 clientes em um AP Ovislink WL-5460AP que é considerado um AP ordinário, mas que de ordinário só tem seu gabinete que parece uma saboneteira!
Primeiramente vamos criar as classes raízes do controle de banda. Podemos colocar estas linha no nosso /etc/rc.d/rc.local:
/sbin/tc qdisc del dev eth0 root #2> /dev/null
/sbin/tc qdisc add dev eth0 root handle 1 cbq bandwidth 100Mbit avpkt 1000 cell 8
/sbin/tc class change dev eth0 root cbq weight 10Mbit allot 1514
/sbin/tc qdisc del dev ppp0 root #2> /dev/null
/sbin/tc qdisc add dev ppp0 root handle 1 cbq bandwidth 2Mbit avpkt 1000 cell 8
/sbin/tc class change dev ppp0 root cbq weight 200Kbit allot 1514
/sbin/tc qdisc add dev eth0 root handle 1 cbq bandwidth 100Mbit avpkt 1000 cell 8
/sbin/tc class change dev eth0 root cbq weight 10Mbit allot 1514
/sbin/tc qdisc del dev ppp0 root #2> /dev/null
/sbin/tc qdisc add dev ppp0 root handle 1 cbq bandwidth 2Mbit avpkt 1000 cell 8
/sbin/tc class change dev ppp0 root cbq weight 200Kbit allot 1514
Em meu caso ppp0 é uma PPPoE de um serviço ADSL de 2Mb/s.
Agora criaremos um script para controlar a banda de cada uma das estações de nossa rede. Este script deve ser iniciado junto com a máquina e após as interfaces de rede estarem levantadas
#!/bin/bash
#IP 192.168.10.10 128K download 100K upload
/sbin/tc class add dev eth0 parent 1: classid 1:a cbq bandwidth 100Mbit rate 128Kbit weight 12Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev eth0 parent 1:a handle a tbf rate 128Kbit buffer 10Kb/8 limit 12Kb mtu 1500
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle a fw classid 1:a
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.10.10 classid 1:a
/sbin/tc class add dev ppp0 parent 1: classid 1:a cbq bandwidth 2Mbit rate 100Kbit weight 10Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev ppp0 parent 1:a handle a tbf rate 100Kbit buffer 10Kb/8 limit 15Kb mtu 1500
/sbin/tc filter add dev ppp0 parent 1:0 protocol ip prio 200 handle a fw classid 1:a
#IP 192.168.11.10 512K download 100K upload
/sbin/tc class add dev eth0 parent 1: classid 1:b cbq bandwidth 100Mbit rate 512Kbit weight 51Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev eth0 parent 1:b handle b tbf rate 512Kbit buffer 10Kb/8 limit 15Kb mtu 1500
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle b fw classid 1:b
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.11.10 classid 1:b
/sbin/tc class add dev ppp0 parent 1: classid 1:b cbq bandwidth 2Mbit rate 100Kbit weight 10Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev ppp0 parent 1:b handle b tbf rate 100Kbit buffer 10Kb/8 limit 15Kb mtu 1500
/sbin/tc filter add dev ppp0 parent 1:0 protocol ip prio 200 handle b fw classid 1:b
#IP 192.168.12.10 1024K download 100K upload
/sbin/tc class add dev eth0 parent 1: classid 1:c cbq bandwidth 100Mbit rate 1024Kbit weight 102Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev eth0 parent 1:c handle b tbf rate 1024Kbit buffer 10Kb/8 limit 15Kb mtu 1500
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle c fw classid 1:c
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.12.10 classid 1:c
/sbin/tc class add dev ppp0 parent 1: classid 1:c cbq bandwidth 2Mbit rate 100Kbit weight 10Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev ppp0 parent 1:c handle b tbf rate 100Kbit buffer 10Kb/8 limit 15Kb mtu 1500
/sbin/tc filter add dev ppp0 parent 1:0 protocol ip prio 200 handle c fw classid 1:c
#IP 192.168.10.10 128K download 100K upload
/sbin/tc class add dev eth0 parent 1: classid 1:a cbq bandwidth 100Mbit rate 128Kbit weight 12Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev eth0 parent 1:a handle a tbf rate 128Kbit buffer 10Kb/8 limit 12Kb mtu 1500
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle a fw classid 1:a
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.10.10 classid 1:a
/sbin/tc class add dev ppp0 parent 1: classid 1:a cbq bandwidth 2Mbit rate 100Kbit weight 10Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev ppp0 parent 1:a handle a tbf rate 100Kbit buffer 10Kb/8 limit 15Kb mtu 1500
/sbin/tc filter add dev ppp0 parent 1:0 protocol ip prio 200 handle a fw classid 1:a
#IP 192.168.11.10 512K download 100K upload
/sbin/tc class add dev eth0 parent 1: classid 1:b cbq bandwidth 100Mbit rate 512Kbit weight 51Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev eth0 parent 1:b handle b tbf rate 512Kbit buffer 10Kb/8 limit 15Kb mtu 1500
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle b fw classid 1:b
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.11.10 classid 1:b
/sbin/tc class add dev ppp0 parent 1: classid 1:b cbq bandwidth 2Mbit rate 100Kbit weight 10Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev ppp0 parent 1:b handle b tbf rate 100Kbit buffer 10Kb/8 limit 15Kb mtu 1500
/sbin/tc filter add dev ppp0 parent 1:0 protocol ip prio 200 handle b fw classid 1:b
#IP 192.168.12.10 1024K download 100K upload
/sbin/tc class add dev eth0 parent 1: classid 1:c cbq bandwidth 100Mbit rate 1024Kbit weight 102Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev eth0 parent 1:c handle b tbf rate 1024Kbit buffer 10Kb/8 limit 15Kb mtu 1500
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 200 handle c fw classid 1:c
/sbin/tc filter add dev eth0 parent 1:0 protocol ip prio 100 u32 match ip dst 192.168.12.10 classid 1:c
/sbin/tc class add dev ppp0 parent 1: classid 1:c cbq bandwidth 2Mbit rate 100Kbit weight 10Kbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded isolated
/sbin/tc qdisc add dev ppp0 parent 1:c handle b tbf rate 100Kbit buffer 10Kb/8 limit 15Kb mtu 1500
/sbin/tc filter add dev ppp0 parent 1:0 protocol ip prio 200 handle c fw classid 1:c
Páginas do artigo
1. Preparando o Apache 2. Configurando o SSL no Apache
3. A topologia da rede
4. O firewall
5. A página de autenticação
6. O arquivo de contas
7. O script CGI de autenticação
8. O script para desfazer a autenticação
9. A tabela ARP estática
10. O controle de banda
11. Notas e agradecimentos
Outros artigos deste autor
Sistema de arquivos criptografado
Access Point com cartão Atheros em Slackware 12.0
Customizando e atualizando o Slax
Leitura recomendada
Criando um cluster de alta performance para quebrar senhas
Firefox 2 e seu recurso de proteção contra Web Phishing
O Kerberos não é um cachorro de 3 cabeças!
Certificações em Segurança: para qual estudar?
Instalando Snort e Guardian no Slackware
Comentários
[1] Comentário enviado por removido em 27/07/2007 - 15:57h
Olá Amigo,
Bom, para deixar seu artigo ainda mais rico eu gostaria de dar uma opinião! No caso de um hijack bem feito (roubo de seção), quando o cliente cai e em seguida entra o hijack seu arping vai consultar ele tranqüilamente! Concorda!? Espero que sim, pois eu já fiz testes com isso e infelizmente da certo! A solução é simples, ao invés de fazer o servidor consultar quem está de pé ou não, o que dependendo do número de estações tem um tempo elevado, eu sugiro mudar para o comando at. Como já uso o servidor Radius, foi fácil, no comando AT eu agendo uma verificação pra saber se o IP tal é do fulano de tal conectado no radius, aí sim, se não for a regra dele é derrubada! Pra substituir o uso do radius, pode-se pensar em cookie, por exemplo!
T+
Olá Amigo,
Bom, para deixar seu artigo ainda mais rico eu gostaria de dar uma opinião! No caso de um hijack bem feito (roubo de seção), quando o cliente cai e em seguida entra o hijack seu arping vai consultar ele tranqüilamente! Concorda!? Espero que sim, pois eu já fiz testes com isso e infelizmente da certo! A solução é simples, ao invés de fazer o servidor consultar quem está de pé ou não, o que dependendo do número de estações tem um tempo elevado, eu sugiro mudar para o comando at. Como já uso o servidor Radius, foi fácil, no comando AT eu agendo uma verificação pra saber se o IP tal é do fulano de tal conectado no radius, aí sim, se não for a regra dele é derrubada! Pra substituir o uso do radius, pode-se pensar em cookie, por exemplo!
T+
[2] Comentário enviado por capitainkurn em 27/07/2007 - 17:50h
Boa! nem havia me ocorrido o at.
Quando elaborei aquele while de arping, pensei em coloca-los isoladamente rodando sob um shell filho do mac_accept4.cgi que seria chamado em background, mas esbarrei em um problema... não entendí ainda o por que de não conseguir rodar um loop em um shell filho a partir de um CGI, mas é uma coisa que estou bolando e a sua idéia do at foi grande.
Obrigado pela dica, e espero que tenha gostado do artigo.
Boa! nem havia me ocorrido o at.
Quando elaborei aquele while de arping, pensei em coloca-los isoladamente rodando sob um shell filho do mac_accept4.cgi que seria chamado em background, mas esbarrei em um problema... não entendí ainda o por que de não conseguir rodar um loop em um shell filho a partir de um CGI, mas é uma coisa que estou bolando e a sua idéia do at foi grande.
Obrigado pela dica, e espero que tenha gostado do artigo.
[3] Comentário enviado por fabiorvs em 22/04/2008 - 19:07h
Ola tem como fazer a autenticação só por usuário, sem o MAC e ip, pois trabalho em uma faculdade e preciso cadastrar todos os alunos.
Ola tem como fazer a autenticação só por usuário, sem o MAC e ip, pois trabalho em uma faculdade e preciso cadastrar todos os alunos.
[4] Comentário enviado por capitainkurn em 23/04/2008 - 10:03h
É mais fácil ainda, a única razão para eu atrelar o ip ao mac address é o controle de banda, pois provedores em geral possuem planos de velocidade diferentes e se não houver vínculo entre o IP e o login e senha o usuário poderia configurar um IP manualmente e usar uma velocidade maior do que a contratada.
É mais fácil ainda, a única razão para eu atrelar o ip ao mac address é o controle de banda, pois provedores em geral possuem planos de velocidade diferentes e se não houver vínculo entre o IP e o login e senha o usuário poderia configurar um IP manualmente e usar uma velocidade maior do que a contratada.
[5] Comentário enviado por cleibson em 03/05/2009 - 22:57h
Como o cliente será diretionado para autenticação, sendo que não há nenhuma regra redirecionando sua navegação para a porta 443 obrigando-o a autenticar antes de navegar
Como o cliente será diretionado para autenticação, sendo que não há nenhuma regra redirecionando sua navegação para a porta 443 obrigando-o a autenticar antes de navegar
[6] Comentário enviado por removido em 06/05/2010 - 09:29h
òtima dica para o combate de ataques do TIPO MITM, originados por arpspoof.
òtima dica para o combate de ataques do TIPO MITM, originados por arpspoof.
[7] Comentário enviado por douglassironi em 28/06/2011 - 18:38h
Sobre a questão de atrelar MAC, podemos fazer isso com PHP, no momento que o cliente se cadastra e cria seu usuario e senha, podemos tranquilamente pegar o MAC dele com a função, abaixo tem um link explicando como fazer.
http://scriptbrasil.com.br/forum/index.php?showtopic=70543
No momento que o usuario/cliente se cadastrar, pode ser gerado o arquivo do DHCP atrelando um ip para o mac capturado.
Recomendo ultilizar um banco de dados para salvar as informações dos clientes/usuarios.
O freeradius tem as tabelas prontas em vários tipos de BD.
Qualquer duvida, estou a disposição.
contato@douglassironi.com
Sobre a questão de atrelar MAC, podemos fazer isso com PHP, no momento que o cliente se cadastra e cria seu usuario e senha, podemos tranquilamente pegar o MAC dele com a função, abaixo tem um link explicando como fazer.
http://scriptbrasil.com.br/forum/index.php?showtopic=70543
No momento que o usuario/cliente se cadastrar, pode ser gerado o arquivo do DHCP atrelando um ip para o mac capturado.
Recomendo ultilizar um banco de dados para salvar as informações dos clientes/usuarios.
O freeradius tem as tabelas prontas em vários tipos de BD.
Qualquer duvida, estou a disposição.
contato@douglassironi.com
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Agora temos uma assistente virtual no fórum!!! (247)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
Impressora Canon Ip 1800 (Drivers) 64 bit (3)
iso de sistema 32 bit em atividade (15)
Como transfiro os pokemons do fire red para o emulador mupen64? (1)
Top 10 do mês
-
Xerxes
1° lugar - 73.894 pts -
Fábio Berbert de Paula
2° lugar - 59.273 pts -
Clodoaldo Santos
3° lugar - 45.705 pts -
Buckminster
4° lugar - 26.402 pts -
Sidnei Serra
5° lugar - 26.024 pts -
Daniel Lara Souza
6° lugar - 18.112 pts -
Alberto Federman Neto.
7° lugar - 17.651 pts -
Mauricio Ferrari
8° lugar - 17.523 pts -
Diego Mendes Rodrigues
9° lugar - 15.648 pts -
edps
10° lugar - 15.172 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
