Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o usuario se conecta desvio as portas pra um apache numa porta x aberta com a pagina de autenticacao, dai eh so criar a regra, to usando mysql num servidor central, funciona muito bem.
Tks Edison ----- Original Message ----- From: "Luiz Zanardo" <[EMAIL PROTECTED]> To: "Lista de discussao sobre FreeBSD" <[email protected]> Sent: Saturday, February 11, 2006 1:25 PM Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Custo com o q ? Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o unico custo seria do servidor p/ BSD e o tempo para configuracao... Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com, extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas o 802.1X puro hoje em dia quase todos switches possuem, os APs posuem sem duvida. O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por completo pois pelo q entendi ele quer fazer isso em uma lan seja wireless ou wired, portanto o controle deve ser feito no switch e no AP diretamente pois e a unica forma de permitir ou nao que o acesso a rede seja feito de forma efetiva, caso contrario, o usuario ja estaria na rede antes mesmo da autenticacao em uma rede local (estou falando de LAN, nao wan como alguns estao citando), na WAN nada melhor que o PPPOE + NOCAT. Giese, tu pretende fazer isso na LAN ou na WAN??? Att, Luiz Zanardo On 2/11/06, [EMAIL PROTECTED] <[EMAIL PROTECTED]> wrote: > > Essa soluçao concerteza é das boas, soh que o custo dela é muito elevado. > Uma das alternativas poderia ser usar PPP over Ethernet, ou entao, o > nocat. > > Creio eu que o nocat funciona assim: > > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh o > cara q brinca com a autenticacao (logicamente). > O ports tem um break que nao permite instalar o gateway e o auth na mesma > maquina, entao assim, compile na mao mesmo, ou edite o Makefile. > Pode ser feita autenticacao em SQL, radius, um monte de coisa. > > Enfim, vi README > > Best regards! > > Em 10/2/2006, "Luiz Zanardo" <[EMAIL PROTECTED]> escreveu: > > > Christopher, > > > > Porque tu não usa dot1x (802.1X) ? > > > > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma > boa > >parte dos switchs e AP já suportam pois é um padrão IEEE). > > > > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a > autorização > >de acesso a rede ficaria por responsabilidade dos switchs e do AP que > >liberaria este acesso mediante apenas uma autenticação positiva do RADIUS > >(caso contrario, porta do switch fica down, no caso do ap o acesso não é > >permitido/roteado). > > > > Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN > Guest > >(uma rede a parte para que os usuarios não autenticados acessem com mais > >restrições), pois outras tecnologias não implementão ainda esta feature. > > > > Da para fazer algumas coisas mais legais do tipo uma > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan guest > >e/ou quarentena, verificando se a maquina esta infectada com algum virus, > >patchs atualizados, etc etc etc (isso envolve desenvolvimento), > desenvolver > >alguma integração com o NAC (Network Admission Center) da Cisco (caso > seja > >ambiente cisco), entre outras cositas mais... :) > > > > Resumindo, vc tem accounting, autorização e autenticação feito pelo > Radius > >(em BSD), acredito que voce não va precisar que alguem autentique num > site > >sendo que o controle ja esta sendo feito diretamente na porta do switch > e/ou > >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma > Vlan > >de quarentena para que os usuarios acessem teu site e se autentique, logo > >apos a autenticação, um script pode acessar o switch e trocar a porta de > >vlan para uma vlan de produção qualquer onde ele tenha acesso as > ferramentas > >de trabalho necessarias, isso envolveria um pouco de desenvolvimento! > > > > Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode > >trabalhar ele para que seja um Firewall Subnetado fazendo com que todas > suas > >VLANs sejam roteadas atraves dele tendo o controle total da rede. > > > > É isto... > > > > > > Att, > > Luiz Zanardo > > > > > > > > > >On 2/9/06, Christopher Giese - iRapida Telecom <[EMAIL PROTECTED]> > wrote: > >> > >> Bom dia Senhores...... > >> > >> estou iniciando algumas pesquisas para implementacao de um > projeto...... > >> e gostaria de saber se alguem ai ja trabalhou com algo parecido > >> > >> A ideia seria o seguinte..... > >> > >> Micros (clientes windows)....... com seus ips....... que possuem em > >> algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD...... > >> Isto nao numa rede Wireless... e sim num rede interna.... de empresa > >> mesmo...... > >> > >> A ideia eh que o micros windows (usuarios) quando forem usufruir da > >> rede..... precisem se logar via WEB.... ai o firewall libera a conexao > >> para tais ips (isto baseado em algum banco de dados ou algo do > >> genero).......... e se nao se logar..... nao acessa nada > >> > >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy mesmo)..... > >> me refiro a um mero metodo de autenticacao... que avalia se o usuario > >> pode ou nao usar o sistema... e ai libera conexoes de firewall (em > todas > >> as portas).... > >> > >> alguem ai ja utilizou algo assim para uma rede interna ???? alguma dica > >> ????? > >> > >> houvi falar no nocat..... mas o que li foi para linux... e para > >> wifi......... > >> > >> alguma experiencia ???? > >> > >> falou ae > >> > >> -- > >> []´s > >> Christopher Giese > >> System Network Security Administrator - iRapida Telecom > >> [EMAIL PROTECTED] - +55 44 36194444 > >> > >> "O futuro nada mais é que sonhos, projetos, esperanças que só serão > >> possíveis se o hoje assim decidir. > >> Nada mais temos neste mundo senão o exatamente agora." > >> > >> > >> _______________________________________________ > >> freebsd mailing list > >> [email protected] > >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > >> > >_______________________________________________ > >freebsd mailing list > >[email protected] > >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b > _______________________________________________ > freebsd mailing list > [email protected] > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > _______________________________________________ freebsd mailing list [email protected] http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br _______________________________________________________ Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! http://br.acesso.yahoo.com _______________________________________________ freebsd mailing list [email protected] http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
