Dúvidas sobre DHCP e Squid

/bin/laden
(usa Void Linux)

Enviado em 09/03/2010 - 10:11h

Implantei um servidor dhcp e agora preciso limitar o acesso do pessoal a Internet (no squid), mas como fazer isso já que os ip's são todos dinâmicos?

Os usuários que possuem acesso livre, estão sendo liberados via mac. Então como faço para limitar o restante do pessoal?

Aqui a rede possui mais de 100 computadores, seria viável criar uma lista com todos os mac's a serem limitados?

renato_pacheco
(usa Debian)

Enviado em 09/03/2010 - 10:16h

Infelizmente não teria como fugir da lista, mas pra facilitar sua vida, vc pode obter a lista d todos os MAC's, criar uma tabela arp estática e incluí-las dentro do arquivo /etc/ethers. Ex.:

192.168.0.1 00:11:22:33:44:55
192.168.0.2 55:44:33:22:11:00
...

Depois, coloque o seguinte comando abaixo dentro do rc.local:

arp -f

O q acontece? A conexão só será liberada caso o MAC do solicitante estiver nessa tabela, senão não conecta. O melhor é q vc não precisará nem mexer com squid e nem mexer com o seu DHCP!

/bin/laden
(usa Void Linux)

Enviado em 09/03/2010 - 10:30h

Valeu pela dica Renato! Mas eu não quero bloquear o acesso dos usuários à Internet, e sim limitar o acesso a sites (como orkut, facebook, sites de downloads, pornografia, etc...). Como eu faria isso?

Antes isso era feito da seguinte maneira:

Havia uma lista com os ip's livres e outra com os ip's limitados, mas como posso implementar isso agora que todos os ip's são dinâmicos?

volcom
(usa Debian)

Enviado em 09/03/2010 - 10:33h

Tivemos esse mesmo problema e resolvemos separar uma faixa de IPs para usarmos como fixo e configuramos em todas as estações com IP fixo.

Assim fizemos os bloqueios/liberações através dessa lista...

renato_pacheco
(usa Debian)

Enviado em 09/03/2010 - 10:36h

Bom, o q eu t disse vai ser um auxílio para não furar o esquema d bloqueio seu no squid. No squid.conf, existe uma acl q guarda endereços MAC, dessa forma:

acl maquina arp 00:11:22:33:44:55

Dae vc faz as regras em cima dela.

/bin/laden
(usa Void Linux)

Enviado em 09/03/2010 - 10:41h

Bem, tive uma ideia aqui e vou testá-la para ver se funciona:

Vou criar um arquivo com o range de ip's que o servidor dhcp pode fornecer e no squid criarei uma acl limitando os ip's dessa lista, mas em outra acl (do tipo arp) ficarão os mac's com acesso livre. Mas me surgiu outra dúvida:

O squid não ira bloquear esses usuários mesmo tendo os mac's deles liberados (já que há uma acl com todos os ip's limitados)?

renato_pacheco
(usa Debian)

Enviado em 09/03/2010 - 10:58h

Vc está complicando algo q é simples. O método q t passei (eu acho) mais seguro e simples, pois a tabela estática vai só liberar aquelas máquinas cujo MAC estão na tabela e dentro do squid, através d acl's com mac, vc restringe a conexão (bloqueado/liberando sites desejados). O DHCP nem precisa ser estático, pois ele possui a faixa d IP já dentro dele q dará os IP's determinados na tabela /etc/ethers. Ex.: o meu DHCP fornece os IP's dentro da faixa 192.168.0.100-200, a rede é 192.168.0.0/24 e a tabela /etc/ethers ficaria assim:

192.168.0.100 00:11:22:33:44:55
192.168.0.101 55:44:33:22:11:00
...
192.168.0.200 A1:B2:C3:D4:E5:FF

Entendeu?

/bin/laden
(usa Void Linux)

Enviado em 09/03/2010 - 12:09h

Cara desculpe minha ignorância mas ao utilizar o /etc/ethers não irei bloquear o acesso a Internet de todos?

Pois pelo que entendi nele você coloca os ip's com mac's falsos e só libera o acesso se um ip tiver um mac verdadeiro.

Minha intenção é liberar (acesso total) cerca de 10% das máquinas e limitar o acesso à Internet de todo o restante.

renato_pacheco
(usa Debian)

Enviado em 09/03/2010 - 12:14h

Não, é ao contrário. Vc vai pegar todos os MAC's válidos da sua rede. O q tiver lá dentro ele vai deixar passar. Se alguém (por exemplo) tentar colocar um notebook na rede tentando obter IP, não vai conseguir, sacou?

/bin/laden
(usa Void Linux)

Enviado em 09/03/2010 - 12:29h

Talvez eu seja extremamente burro! mas ainda continuo sem entender direito esse esquema.

A situação aqui é a seguinte:

Vou utilizar acl's do tipo arp somente para liberar acesso "full" à Internet para alguns usuários, como diretores, coordenadores e chefes... O restante da galera terá acesso controlado, porém sem o uso de acl's arp!

Isso é possível com o esquema do /etc/ethers?

renato_pacheco
(usa Debian)

Enviado em 09/03/2010 - 12:38h

É possível, sim, mas vai depender do q vc deseja afinal. O esquema do /etc/ethers q t passei serve para barrar máquinas q não pertencem à rede através do MAC d cada máquina, fazendo a associação do IP ao MAC, apenas isso. Se não é isso q vc quer, desconsidere o q t falei. Mas o q vc tá querendo funciona tranquilamente pelo squid (barrando tanto por MAC quanto por IP).

israel_miranda
(usa FreeBSD)

Enviado em 09/03/2010 - 12:57h

da tecnologia de sua necessidade é SSO, Single Sign On.

Trabalhoso, mas muito útil e muito recompensador!
http://www.eduardosachs.org/mediawiki/index.php?title=Heimdal_Kerberos_%2B_Samba_PDC_%2B_OpenLDAP_%2...