Boa tarde Luiz Gustavo,

Estou desenvolvendo uma solução própria para isto... já está até
funcionando em critérios de teste.

Estou trabalhando com uma página PHP para autenticação de usuário e
shell script para checagem de timeout das regras IPFW.

Criei uma regra que por padrão redireciona todo o tráfego de meus
clientes para a página de autenticação e após o usuário logar eu crio 5
regras:
1 regra de count para fazer o account do download do cliente;
1 regra de count para fazer o account do upload do cliente;
1 regra de proxy transparente para o cliente;
1 regra permitindo todo o tráfego do IP do cliente para a net;
1 regra permitindo todo o tráfego da net para o IP do cliente;

Conforme eu for evoluindo nos testes posto os resultados na lista

[]s

Fabrício F. Kammer


-----Mensagem original-----
De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em
nome de Luiz Gustavo Santos Costa
Enviada em: segunda-feira, 13 de fevereiro de 2006 12:26
Para: Lista de discussao sobre FreeBSD
Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da
Rede


Edison,

To escrevendo essa ideia num tutorial, se puder ajudar :)

http://wiki.luizgustavo.pro.br/doku.php?id=artigos_geral:captive_portal

Abrçs,

Luiz Gustavo - http://www.luizgustavo.pro.br

Em 13/02/06, yahhoo<[EMAIL PROTECTED]> escreveu:
> Fiz isso com php,uma interface web que cria uma regra do firewall, qdo

> o usuario se conecta desvio as portas pra um apache numa porta x 
> aberta com a pagina de autenticacao, dai eh so criar a regra, to 
> usando mysql num servidor central, funciona muito bem.
>
> Tks
>
> Edison
>
> ----- Original Message -----
> From: "Luiz Zanardo" <[EMAIL PROTECTED]>
> To: "Lista de discussao sobre FreeBSD" <freebsd@fug.com.br>
> Sent: Saturday, February 11, 2006 1:25 PM
> Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da 
> Rede
>
>
>   Custo com o q ?
>
>   Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o 
> unico custo seria do servidor p/ BSD e o tempo para configuracao...
>
>   Falei de cisco pq o IOS faz algumas coisas q os outros switchs 
> (3com, extreme, alcatel, entre outros) nao fazem (vlan guest, por 
> exemplo), mas o 802.1X puro hoje em dia quase todos switches possuem, 
> os APs posuem sem duvida.
>
>   O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por

> completo pois pelo q entendi ele quer fazer isso em uma lan seja 
> wireless ou wired, portanto o controle deve ser feito no switch e no 
> AP diretamente pois e a unica forma de permitir ou nao que o acesso a 
> rede seja feito de forma efetiva, caso contrario, o usuario ja estaria

> na rede antes mesmo da autenticacao em uma rede local (estou falando 
> de LAN, nao wan como alguns estao citando), na WAN nada melhor que o 
> PPPOE + NOCAT.
>
>   Giese, tu pretende fazer isso na LAN ou na WAN???
>
>
>   Att,
>   Luiz Zanardo
>
>
> On 2/11/06, [EMAIL PROTECTED] <[EMAIL PROTECTED]> 
> wrote:
> >
> > Essa soluçao concerteza é das boas, soh que o custo dela é muito 
> > elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou

> > entao, o nocat.
> >
> > Creio eu que o nocat funciona assim:
> >
> > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth 
> > eh o cara q brinca com a autenticacao (logicamente). O ports tem um 
> > break que nao permite instalar o gateway e o auth na mesma maquina, 
> > entao assim, compile na mao mesmo, ou edite o Makefile. Pode ser 
> > feita autenticacao em SQL, radius, um monte de coisa.
> >
> > Enfim,  vi README
> >
> > Best regards!
> >
> > Em 10/2/2006, "Luiz Zanardo" <[EMAIL PROTECTED]> escreveu:
> >
> > >  Christopher,
> > >
> > >  Porque tu não usa dot1x (802.1X) ?
> > >
> > >  Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia

> > > uma
> > boa
> > >parte dos switchs e AP já suportam pois é um padrão IEEE).
> > >
> > >  Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a
> > autorização
> > >de acesso a rede ficaria por responsabilidade dos switchs e do AP 
> > >que liberaria este acesso mediante apenas uma autenticação positiva

> > >do RADIUS (caso contrario, porta do switch fica down, no caso do ap

> > >o acesso não é permitido/roteado).
> > >
> > >  Caso tua infra seja de switchs/ap cisco tu pode ate implementar 
> > > VLAN
> > Guest
> > >(uma rede a parte para que os usuarios não autenticados acessem com

> > >mais restrições), pois outras tecnologias não implementão ainda 
> > >esta feature.
> > >
> > >  Da para fazer algumas coisas mais legais do tipo uma 
> > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan 
> > >guest e/ou quarentena, verificando se a maquina esta infectada com 
> > >algum virus, patchs atualizados, etc etc etc (isso envolve 
> > >desenvolvimento),
> > desenvolver
> > >alguma integração com o NAC (Network Admission Center) da Cisco 
> > >(caso
> > seja
> > >ambiente cisco), entre outras cositas mais... :)
> > >
> > >  Resumindo, vc tem accounting, autorização e autenticação feito 
> > > pelo
> > Radius
> > >(em BSD), acredito que voce não va precisar que alguem autentique 
> > >num
> > site
> > >sendo que o controle ja esta sendo feito diretamente na porta do 
> > >switch
> > e/ou
> > >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar 
> > >uma
> > Vlan
> > >de quarentena para que os usuarios acessem teu site e se 
> > >autentique, logo apos a autenticação, um script pode acessar o 
> > >switch e trocar a porta de vlan para uma vlan de produção qualquer 
> > >onde ele tenha acesso as
> > ferramentas
> > >de trabalho necessarias, isso envolveria um pouco de 
> > >desenvolvimento!
> > >
> > >  Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce 
> > >pode trabalhar ele para que seja um Firewall Subnetado fazendo com 
> > >que todas
> > suas
> > >VLANs sejam roteadas atraves dele tendo o controle total da rede.
> > >
> > >  É isto...
> > >
> > >
> > >  Att,
> > >  Luiz Zanardo
> > >
> > >
> > >
> > >
> > >On 2/9/06, Christopher Giese - iRapida Telecom 
> > ><[EMAIL PROTECTED]>
> > wrote:
> > >>
> > >> Bom dia Senhores......
> > >>
> > >> estou iniciando algumas pesquisas para implementacao de um
> > projeto......
> > >> e gostaria de saber se alguem ai ja trabalhou com algo parecido
> > >>
> > >> A ideia seria o seguinte.....
> > >>
> > >> Micros (clientes windows)....... com seus ips....... que possuem 
> > >> em algum lugar (nao necessariamente o next-hope) um Gateway 
> > >> FreeBSD...... Isto nao numa rede Wireless... e sim num rede 
> > >> interna.... de empresa mesmo......
> > >>
> > >> A ideia eh que o micros windows (usuarios)  quando forem usufruir

> > >> da rede..... precisem se logar via WEB.... ai o firewall libera a

> > >> conexao para tais ips (isto baseado em algum banco de dados ou 
> > >> algo do genero).......... e se nao se logar..... nao acessa nada
> > >>
> > >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy 
> > >> mesmo)..... me refiro a um mero metodo de autenticacao... que 
> > >> avalia se o usuario pode ou nao usar o sistema... e ai libera 
> > >> conexoes de firewall (em
> > todas
> > >> as portas)....
> > >>
> > >> alguem ai ja utilizou algo assim para uma rede interna ???? 
> > >> alguma dica ?????
> > >>
> > >> houvi falar no nocat..... mas o que li foi para linux... e para 
> > >> wifi.........
> > >>
> > >> alguma experiencia ????
> > >>
> > >> falou ae
> > >>
> > >> --
> > >> []´s
> > >> Christopher Giese
> > >> System Network Security Administrator - iRapida Telecom 
> > >> [EMAIL PROTECTED] - +55 44 36194444
> > >>
> > >> "O futuro nada mais é que sonhos, projetos, esperanças que só 
> > >> serão possíveis se o hoje assim decidir. Nada mais temos neste 
> > >> mundo senão o exatamente agora."
> > >>
> > >>
> > >> _______________________________________________
> > >> freebsd mailing list
> > >> freebsd@fug.com.br 
> > >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> > >>
> > >_______________________________________________
> > >freebsd mailing list
> > >freebsd@fug.com.br 
> > >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b
> > _______________________________________________
> > freebsd mailing list
> > freebsd@fug.com.br 
> > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> >
> _______________________________________________
> freebsd mailing list
> freebsd@fug.com.br 
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
>
>
> _______________________________________________________
> Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador 
> agora! http://br.acesso.yahoo.com 
> _______________________________________________
> freebsd mailing list
> freebsd@fug.com.br 
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
_______________________________________________
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

_______________________________________________
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

Responder a