[rlug] Re: restrictionarea accesului la net pt o retea de bloc

Thu, 15 Apr 2004 04:00:21 -0700 

On Thu, 15 Apr 2004, Radu Malica wrote:

> Va salut
> 
> Administrez un server legat fiber la RDS pt o retea care e destul de
> mare, si multi dintre aia care sunt in retea nu au acces la net, pt asta
> am facut in prima faza restrictionarea dupa mac address la forward, dar
> se pare ca nu a durat mult si baietii au aflat ca mac-ul se poate
> schimba, ii pandesc pe aia care au acces la net le fura ip-u shi macu si
> intra bine merci pe net... Asta ma cam deranjeaza. M-am gandit sa pun un
> squid transparent proxy, dar ala cred ca merge numai cu acces la web, si
> o interfata cu radius/mysql ceva , sa le dau la fiecare cate un user...
> Problema este blocarea traficului de tot... Adica sa fac cumva ca aia
> care au acces sa poata intra numai ei..
> 

Nu poti sa faci HTTP AUTH user/pass cu transparent proxy (de fapt pare ca 
merge dar o sa ai probleme, scrie si in documentatia squid). E limitare 
din protocolul http si felul in care se paseaza credentials.

> Any ideas? DHCP ceva ? Orice sfat ar fi binevenit ca ma streseaza toti
> copiii aia la cap shi mai am si job nu stau numa de reteaua lor :D

1. Faci o pagina web (mica) in care isi pun user si parola si sa se 
autentifice acolo intai inainte sa aiba voie (din firewall per ip) si cand 
termina sa dea logout acolo altfel le-o tragi
2. 802.1x auth; ai nevoie ca echipamentele in care intra sa stie 802.1x 
authenticator, o sa pui un RADIUS pe linux pt useri/parole, clientii 
trebuie sa stie 802.1x supplicant (windows xp stie by default, pt unix 
exista xsupplicant)
3. tunele/vpn intre ei si tine (pe care pui ce autentificare vrei tu, 
depinzand de tipul de vpn); astfel permiti prin firewall sa iasa doar cei 
ce s-au autentificat la vpn

> Eventual vreun softuletz web-based care sa te introduca pe durata
> sesiunii in iptables dupa care sa scoata de tot NAT`u..ceva de genu
> asta..

Pai il faci tu.

> Thanx

-- 
Mihai RUSU                                    Email: [EMAIL PROTECTED]
GPG : http://dizzy.roedu.net/dizzy-gpg.txt    WWW: http://dizzy.roedu.net
                       "Linux is obsolete" -- AST

--- 
Detalii despre listele noastre de mail: http://www.lug.ro/

Raspunde prin e-mail lui