Edison, Pensei em fazer isso eu mesmo... mas e o timeout?? Como vc controla???
Não dá pra desconectar o cliente após X tempo... e se ele tiver no meio de um download ou de uma transação bancária na hora em que a conexão expirar... tem que ser após X tempo de inatividade. []s -----Mensagem original----- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de yahhoo Enviada em: segunda-feira, 13 de fevereiro de 2006 10:25 Para: Lista de discussao sobre FreeBSD Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o usuario se conecta desvio as portas pra um apache numa porta x aberta com a pagina de autenticacao, dai eh so criar a regra, to usando mysql num servidor central, funciona muito bem. Tks Edison ----- Original Message ----- From: "Luiz Zanardo" <[EMAIL PROTECTED]> To: "Lista de discussao sobre FreeBSD" <freebsd@fug.com.br> Sent: Saturday, February 11, 2006 1:25 PM Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Custo com o q ? Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o unico custo seria do servidor p/ BSD e o tempo para configuracao... Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com, extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas o 802.1X puro hoje em dia quase todos switches possuem, os APs posuem sem duvida. O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por completo pois pelo q entendi ele quer fazer isso em uma lan seja wireless ou wired, portanto o controle deve ser feito no switch e no AP diretamente pois e a unica forma de permitir ou nao que o acesso a rede seja feito de forma efetiva, caso contrario, o usuario ja estaria na rede antes mesmo da autenticacao em uma rede local (estou falando de LAN, nao wan como alguns estao citando), na WAN nada melhor que o PPPOE + NOCAT. Giese, tu pretende fazer isso na LAN ou na WAN??? Att, Luiz Zanardo On 2/11/06, [EMAIL PROTECTED] <[EMAIL PROTECTED]> wrote: > > Essa soluçao concerteza é das boas, soh que o custo dela é muito > elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou > entao, o nocat. > > Creio eu que o nocat funciona assim: > > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh > o cara q brinca com a autenticacao (logicamente). O ports tem um break > que nao permite instalar o gateway e o auth na mesma maquina, entao > assim, compile na mao mesmo, ou edite o Makefile. Pode ser feita > autenticacao em SQL, radius, um monte de coisa. > > Enfim, vi README > > Best regards! > > Em 10/2/2006, "Luiz Zanardo" <[EMAIL PROTECTED]> escreveu: > > > Christopher, > > > > Porque tu não usa dot1x (802.1X) ? > > > > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia > > uma > boa > >parte dos switchs e AP já suportam pois é um padrão IEEE). > > > > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a > autorização > >de acesso a rede ficaria por responsabilidade dos switchs e do AP que > >liberaria este acesso mediante apenas uma autenticação positiva do > >RADIUS (caso contrario, porta do switch fica down, no caso do ap o > >acesso não é permitido/roteado). > > > > Caso tua infra seja de switchs/ap cisco tu pode ate implementar > > VLAN > Guest > >(uma rede a parte para que os usuarios não autenticados acessem com > >mais restrições), pois outras tecnologias não implementão ainda esta > >feature. > > > > Da para fazer algumas coisas mais legais do tipo uma > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan > >guest e/ou quarentena, verificando se a maquina esta infectada com > >algum virus, patchs atualizados, etc etc etc (isso envolve > >desenvolvimento), > desenvolver > >alguma integração com o NAC (Network Admission Center) da Cisco (caso > seja > >ambiente cisco), entre outras cositas mais... :) > > > > Resumindo, vc tem accounting, autorização e autenticação feito pelo > Radius > >(em BSD), acredito que voce não va precisar que alguem autentique num > site > >sendo que o controle ja esta sendo feito diretamente na porta do > >switch > e/ou > >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar > >uma > Vlan > >de quarentena para que os usuarios acessem teu site e se autentique, > >logo apos a autenticação, um script pode acessar o switch e trocar a > >porta de vlan para uma vlan de produção qualquer onde ele tenha > >acesso as > ferramentas > >de trabalho necessarias, isso envolveria um pouco de desenvolvimento! > > > > Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce > >pode trabalhar ele para que seja um Firewall Subnetado fazendo com > >que todas > suas > >VLANs sejam roteadas atraves dele tendo o controle total da rede. > > > > É isto... > > > > > > Att, > > Luiz Zanardo > > > > > > > > > >On 2/9/06, Christopher Giese - iRapida Telecom <[EMAIL PROTECTED]> > wrote: > >> > >> Bom dia Senhores...... > >> > >> estou iniciando algumas pesquisas para implementacao de um > projeto...... > >> e gostaria de saber se alguem ai ja trabalhou com algo parecido > >> > >> A ideia seria o seguinte..... > >> > >> Micros (clientes windows)....... com seus ips....... que possuem em > >> algum lugar (nao necessariamente o next-hope) um Gateway > >> FreeBSD...... Isto nao numa rede Wireless... e sim num rede > >> interna.... de empresa mesmo...... > >> > >> A ideia eh que o micros windows (usuarios) quando forem usufruir > >> da rede..... precisem se logar via WEB.... ai o firewall libera a > >> conexao para tais ips (isto baseado em algum banco de dados ou algo > >> do genero).......... e se nao se logar..... nao acessa nada > >> > >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy > >> mesmo)..... me refiro a um mero metodo de autenticacao... que > >> avalia se o usuario pode ou nao usar o sistema... e ai libera > >> conexoes de firewall (em > todas > >> as portas).... > >> > >> alguem ai ja utilizou algo assim para uma rede interna ???? alguma > >> dica ????? > >> > >> houvi falar no nocat..... mas o que li foi para linux... e para > >> wifi......... > >> > >> alguma experiencia ???? > >> > >> falou ae > >> > >> -- > >> []´s > >> Christopher Giese > >> System Network Security Administrator - iRapida Telecom > >> [EMAIL PROTECTED] - +55 44 36194444 > >> > >> "O futuro nada mais é que sonhos, projetos, esperanças que só serão > >> possíveis se o hoje assim decidir. Nada mais temos neste mundo > >> senão o exatamente agora." > >> > >> > >> _______________________________________________ > >> freebsd mailing list > >> freebsd@fug.com.br > >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > >> > >_______________________________________________ > >freebsd mailing list > >freebsd@fug.com.br > >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b > _______________________________________________ > freebsd mailing list > freebsd@fug.com.br > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > _______________________________________________ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br _______________________________________________________ Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! http://br.acesso.yahoo.com _______________________________________________ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br _______________________________________________ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br