[FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede
Boa tarde Luiz Gustavo, Estou desenvolvendo uma solução própria para isto... já está até funcionando em critérios de teste. Estou trabalhando com uma página PHP para autenticação de usuário e shell script para checagem de timeout das regras IPFW. Criei uma regra que por padrão redireciona todo o tráfego de meus clientes para a página de autenticação e após o usuário logar eu crio 5 regras: 1 regra de count para fazer o account do download do cliente; 1 regra de count para fazer o account do upload do cliente; 1 regra de proxy transparente para o cliente; 1 regra permitindo todo o tráfego do IP do cliente para a net; 1 regra permitindo todo o tráfego da net para o IP do cliente; Conforme eu for evoluindo nos testes posto os resultados na lista []s Fabrício F. Kammer -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Luiz Gustavo Santos Costa Enviada em: segunda-feira, 13 de fevereiro de 2006 12:26 Para: Lista de discussao sobre FreeBSD Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Edison, To escrevendo essa ideia num tutorial, se puder ajudar :) http://wiki.luizgustavo.pro.br/doku.php?id=artigos_geral:captive_portal Abrçs, Luiz Gustavo - http://www.luizgustavo.pro.br Em 13/02/06, yahhoo<[EMAIL PROTECTED]> escreveu: > Fiz isso com php,uma interface web que cria uma regra do firewall, qdo > o usuario se conecta desvio as portas pra um apache numa porta x > aberta com a pagina de autenticacao, dai eh so criar a regra, to > usando mysql num servidor central, funciona muito bem. > > Tks > > Edison > > - Original Message - > From: "Luiz Zanardo" <[EMAIL PROTECTED]> > To: "Lista de discussao sobre FreeBSD" > Sent: Saturday, February 11, 2006 1:25 PM > Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da > Rede > > > Custo com o q ? > > Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o > unico custo seria do servidor p/ BSD e o tempo para configuracao... > > Falei de cisco pq o IOS faz algumas coisas q os outros switchs > (3com, extreme, alcatel, entre outros) nao fazem (vlan guest, por > exemplo), mas o 802.1X puro hoje em dia quase todos switches possuem, > os APs posuem sem duvida. > > O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por > completo pois pelo q entendi ele quer fazer isso em uma lan seja > wireless ou wired, portanto o controle deve ser feito no switch e no > AP diretamente pois e a unica forma de permitir ou nao que o acesso a > rede seja feito de forma efetiva, caso contrario, o usuario ja estaria > na rede antes mesmo da autenticacao em uma rede local (estou falando > de LAN, nao wan como alguns estao citando), na WAN nada melhor que o > PPPOE + NOCAT. > > Giese, tu pretende fazer isso na LAN ou na WAN??? > > > Att, > Luiz Zanardo > > > On 2/11/06, [EMAIL PROTECTED] <[EMAIL PROTECTED]> > wrote: > > > > Essa soluçao concerteza é das boas, soh que o custo dela é muito > > elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou > > entao, o nocat. > > > > Creio eu que o nocat funciona assim: > > > > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth > > eh o cara q brinca com a autenticacao (logicamente). O ports tem um > > break que nao permite instalar o gateway e o auth na mesma maquina, > > entao assim, compile na mao mesmo, ou edite o Makefile. Pode ser > > feita autenticacao em SQL, radius, um monte de coisa. > > > > Enfim, vi README > > > > Best regards! > > > > Em 10/2/2006, "Luiz Zanardo" <[EMAIL PROTECTED]> escreveu: > > > > > Christopher, > > > > > > Porque tu não usa dot1x (802.1X) ? > > > > > > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia > > > uma > > boa > > >parte dos switchs e AP já suportam pois é um padrão IEEE). > > > > > > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a > > autorização > > >de acesso a rede ficaria por responsabilidade dos switchs e do AP > > >que liberaria este acesso mediante apenas uma autenticação positiva > > >do RADIUS (caso contrario, porta do switch fica down, no caso do ap > > >o acesso não é permitido/roteado). > > > > > > Caso tua infra seja de switchs/ap cisco tu pode ate implementar > > > VLAN > > Guest > > >(uma rede a parte para que os usuarios não autenticados acessem com > > >mais restrições), pois outras tecnologias não implementão ainda > > >esta feature. > > > > > > Da para fazer algumas coisas mais legais do tipo uma > > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan > > >guest e/ou quarentena, verificando se a maquina esta infectada com > > >algum virus, patchs atualizados, etc etc etc (isso envolve > > >desenvolvimento), > > desenvolver > > >alguma integração com o NAC (Network Admission Center) da Cisco > > >(caso > > seja > > >ambiente cisco), entre outras cositas mais... :) > > > > > > Resumindo, vc tem accounting, autorização e autenticação feito > > > pe
Re: [FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede
tcpdump, de tempos em tempos verifico se o ip ta navegando se estiver sem navegacao por x minutos deleto a regra que criei no firewall. - Original Message - From: "Fabrício Fadel Kammer" <[EMAIL PROTECTED]> To: "'Lista de discussao sobre FreeBSD'" Sent: Monday, February 13, 2006 11:19 AM Subject: [FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede Edison, Pensei em fazer isso eu mesmo... mas e o timeout?? Como vc controla??? Não dá pra desconectar o cliente após X tempo... e se ele tiver no meio de um download ou de uma transação bancária na hora em que a conexão expirar... tem que ser após X tempo de inatividade. []s -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de yahhoo Enviada em: segunda-feira, 13 de fevereiro de 2006 10:25 Para: Lista de discussao sobre FreeBSD Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o usuario se conecta desvio as portas pra um apache numa porta x aberta com a pagina de autenticacao, dai eh so criar a regra, to usando mysql num servidor central, funciona muito bem. Tks Edison - Original Message - From: "Luiz Zanardo" <[EMAIL PROTECTED]> To: "Lista de discussao sobre FreeBSD" Sent: Saturday, February 11, 2006 1:25 PM Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Custo com o q ? Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o unico custo seria do servidor p/ BSD e o tempo para configuracao... Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com, extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas o 802.1X puro hoje em dia quase todos switches possuem, os APs posuem sem duvida. O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por completo pois pelo q entendi ele quer fazer isso em uma lan seja wireless ou wired, portanto o controle deve ser feito no switch e no AP diretamente pois e a unica forma de permitir ou nao que o acesso a rede seja feito de forma efetiva, caso contrario, o usuario ja estaria na rede antes mesmo da autenticacao em uma rede local (estou falando de LAN, nao wan como alguns estao citando), na WAN nada melhor que o PPPOE + NOCAT. Giese, tu pretende fazer isso na LAN ou na WAN??? Att, Luiz Zanardo On 2/11/06, [EMAIL PROTECTED] <[EMAIL PROTECTED]> wrote: > > Essa soluçao concerteza é das boas, soh que o custo dela é muito > elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou > entao, o nocat. > > Creio eu que o nocat funciona assim: > > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh > o cara q brinca com a autenticacao (logicamente). O ports tem um break > que nao permite instalar o gateway e o auth na mesma maquina, entao > assim, compile na mao mesmo, ou edite o Makefile. Pode ser feita > autenticacao em SQL, radius, um monte de coisa. > > Enfim, vi README > > Best regards! > > Em 10/2/2006, "Luiz Zanardo" <[EMAIL PROTECTED]> escreveu: > > > Christopher, > > > > Porque tu não usa dot1x (802.1X) ? > > > > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia > > uma > boa > >parte dos switchs e AP já suportam pois é um padrão IEEE). > > > > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a > autorização > >de acesso a rede ficaria por responsabilidade dos switchs e do AP que > >liberaria este acesso mediante apenas uma autenticação positiva do > >RADIUS (caso contrario, porta do switch fica down, no caso do ap o > >acesso não é permitido/roteado). > > > > Caso tua infra seja de switchs/ap cisco tu pode ate implementar > > VLAN > Guest > >(uma rede a parte para que os usuarios não autenticados acessem com > >mais restrições), pois outras tecnologias não implementão ainda esta > >feature. > > > > Da para fazer algumas coisas mais legais do tipo uma > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan > >guest e/ou quarentena, verificando se a maquina esta infectada com > >algum virus, patchs atualizados, etc etc etc (isso envolve > >desenvolvimento), > desenvolver > >alguma integração com o NAC (Network Admission Center) da Cisco (caso > seja > >ambiente cisco), entre outras cositas mais... :) > > > > Resumindo, vc tem accounting, autorização e autenticação feito pelo > Radius > >(em BSD), acredito que voce não va precisar que alguem autentique num > site > >sendo que o controle ja esta sendo feito diretamente na porta do > >switch > e/ou > >no AP, mas caso precise, o que voce pode fazer é o segu
Re: [FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede
Fabrício, eu solucionei isso com um simples ping.. de tempo em tempo eu fico rodando um script que fica pingando os clients, assim que um não responde eu tiro as regras dele. Abçs, Luiz Gustavo - http://www.luizgustavo.pro.br Em 13/02/06, Fabrício Fadel Kammer<[EMAIL PROTECTED]> escreveu: > Edison, > > Pensei em fazer isso eu mesmo... mas e o timeout?? Como vc controla??? > > Não dá pra desconectar o cliente após X tempo... e se ele tiver no meio > de um download ou de uma transação bancária na hora em que a conexão > expirar... tem que ser após X tempo de inatividade. > > []s > > > > -Mensagem original- > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em > nome de yahhoo > Enviada em: segunda-feira, 13 de fevereiro de 2006 10:25 > Para: Lista de discussao sobre FreeBSD > Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da > Rede > > > Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o > > usuario se conecta desvio as portas pra um apache numa porta x aberta > com a > pagina de autenticacao, dai eh so criar a regra, to usando mysql num > servidor central, funciona muito bem. > > Tks > > Edison > > - Original Message - > From: "Luiz Zanardo" <[EMAIL PROTECTED]> > To: "Lista de discussao sobre FreeBSD" > Sent: Saturday, February 11, 2006 1:25 PM > Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da > Rede > > > Custo com o q ? > > Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o > unico custo seria do servidor p/ BSD e o tempo para configuracao... > > Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com, > extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas > o 802.1X puro hoje em dia quase todos switches possuem, os APs posuem > sem duvida. > > O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por > completo pois pelo q entendi ele quer fazer isso em uma lan seja > wireless ou wired, portanto o controle deve ser feito no switch e no AP > diretamente pois e a unica forma de permitir ou nao que o acesso a rede > seja feito de forma efetiva, caso contrario, o usuario ja estaria na > rede antes mesmo da autenticacao em uma rede local (estou falando de > LAN, nao wan como alguns estao citando), na WAN nada melhor que o PPPOE > + NOCAT. > > Giese, tu pretende fazer isso na LAN ou na WAN??? > > > Att, > Luiz Zanardo > > > On 2/11/06, [EMAIL PROTECTED] <[EMAIL PROTECTED]> wrote: > > > > Essa soluçao concerteza é das boas, soh que o custo dela é muito > > elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou > > entao, o nocat. > > > > Creio eu que o nocat funciona assim: > > > > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh > > o cara q brinca com a autenticacao (logicamente). O ports tem um break > > > que nao permite instalar o gateway e o auth na mesma maquina, entao > > assim, compile na mao mesmo, ou edite o Makefile. Pode ser feita > > autenticacao em SQL, radius, um monte de coisa. > > > > Enfim, vi README > > > > Best regards! > > > > Em 10/2/2006, "Luiz Zanardo" <[EMAIL PROTECTED]> escreveu: > > > > > Christopher, > > > > > > Porque tu não usa dot1x (802.1X) ? > > > > > > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia > > > uma > > boa > > >parte dos switchs e AP já suportam pois é um padrão IEEE). > > > > > > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a > > autorização > > >de acesso a rede ficaria por responsabilidade dos switchs e do AP que > > > >liberaria este acesso mediante apenas uma autenticação positiva do > > >RADIUS (caso contrario, porta do switch fica down, no caso do ap o > > >acesso não é permitido/roteado). > > > > > > Caso tua infra seja de switchs/ap cisco tu pode ate implementar > > > VLAN > > Guest > > >(uma rede a parte para que os usuarios não autenticados acessem com > > >mais restrições), pois outras tecnologias não implementão ainda esta > > >feature. > > > > > > Da para fazer algumas coisas mais legais do tipo uma > > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan > > >guest e/ou quarentena, verificando se a maquina esta infectada com > > >algum virus, patchs atualizados, etc etc etc (isso envolve > > >desenvolvimento), > > desenvolver > > >alguma integração com o NAC (Network Admission Center) da Cisco (caso > > seja > > >ambiente cisco), entre outras cositas mais... :) > > > > > > Resumindo, vc tem accounting, autorização e autenticação feito pelo > > Radius > > >(em BSD), acredito que voce não va precisar que alguem autentique num > > site > > >sendo que o controle ja esta sendo feito diretamente na porta do > > >switch > > e/ou > > >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar > > >uma > > Vlan > > >de quarentena para que os usuarios acessem teu site e se autentique, > > >logo apos a autenticação, um script pode acessar o switch e trocar a > > >porta de vlan para uma vlan de produção qualqu
[FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede
Edison, Pensei em fazer isso eu mesmo... mas e o timeout?? Como vc controla??? Não dá pra desconectar o cliente após X tempo... e se ele tiver no meio de um download ou de uma transação bancária na hora em que a conexão expirar... tem que ser após X tempo de inatividade. []s -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de yahhoo Enviada em: segunda-feira, 13 de fevereiro de 2006 10:25 Para: Lista de discussao sobre FreeBSD Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o usuario se conecta desvio as portas pra um apache numa porta x aberta com a pagina de autenticacao, dai eh so criar a regra, to usando mysql num servidor central, funciona muito bem. Tks Edison - Original Message - From: "Luiz Zanardo" <[EMAIL PROTECTED]> To: "Lista de discussao sobre FreeBSD" Sent: Saturday, February 11, 2006 1:25 PM Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Custo com o q ? Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o unico custo seria do servidor p/ BSD e o tempo para configuracao... Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com, extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas o 802.1X puro hoje em dia quase todos switches possuem, os APs posuem sem duvida. O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por completo pois pelo q entendi ele quer fazer isso em uma lan seja wireless ou wired, portanto o controle deve ser feito no switch e no AP diretamente pois e a unica forma de permitir ou nao que o acesso a rede seja feito de forma efetiva, caso contrario, o usuario ja estaria na rede antes mesmo da autenticacao em uma rede local (estou falando de LAN, nao wan como alguns estao citando), na WAN nada melhor que o PPPOE + NOCAT. Giese, tu pretende fazer isso na LAN ou na WAN??? Att, Luiz Zanardo On 2/11/06, [EMAIL PROTECTED] <[EMAIL PROTECTED]> wrote: > > Essa soluçao concerteza é das boas, soh que o custo dela é muito > elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou > entao, o nocat. > > Creio eu que o nocat funciona assim: > > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh > o cara q brinca com a autenticacao (logicamente). O ports tem um break > que nao permite instalar o gateway e o auth na mesma maquina, entao > assim, compile na mao mesmo, ou edite o Makefile. Pode ser feita > autenticacao em SQL, radius, um monte de coisa. > > Enfim, vi README > > Best regards! > > Em 10/2/2006, "Luiz Zanardo" <[EMAIL PROTECTED]> escreveu: > > > Christopher, > > > > Porque tu não usa dot1x (802.1X) ? > > > > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia > > uma > boa > >parte dos switchs e AP já suportam pois é um padrão IEEE). > > > > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a > autorização > >de acesso a rede ficaria por responsabilidade dos switchs e do AP que > >liberaria este acesso mediante apenas uma autenticação positiva do > >RADIUS (caso contrario, porta do switch fica down, no caso do ap o > >acesso não é permitido/roteado). > > > > Caso tua infra seja de switchs/ap cisco tu pode ate implementar > > VLAN > Guest > >(uma rede a parte para que os usuarios não autenticados acessem com > >mais restrições), pois outras tecnologias não implementão ainda esta > >feature. > > > > Da para fazer algumas coisas mais legais do tipo uma > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan > >guest e/ou quarentena, verificando se a maquina esta infectada com > >algum virus, patchs atualizados, etc etc etc (isso envolve > >desenvolvimento), > desenvolver > >alguma integração com o NAC (Network Admission Center) da Cisco (caso > seja > >ambiente cisco), entre outras cositas mais... :) > > > > Resumindo, vc tem accounting, autorização e autenticação feito pelo > Radius > >(em BSD), acredito que voce não va precisar que alguem autentique num > site > >sendo que o controle ja esta sendo feito diretamente na porta do > >switch > e/ou > >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar > >uma > Vlan > >de quarentena para que os usuarios acessem teu site e se autentique, > >logo apos a autenticação, um script pode acessar o switch e trocar a > >porta de vlan para uma vlan de produção qualquer onde ele tenha > >acesso as > ferramentas > >de trabalho necessarias, isso envolveria um pouco de desenvolvimento! > > > > Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce > >pode trabalhar ele para que seja um Firewall Subnetado fazendo com > >que todas > suas > >VLANs sejam roteadas atraves dele tendo o controle total da rede. > > > > É isto... > > > > > > Att, > > Luiz Zanardo > > > > > > > > > >On 2/9/06, Christopher Giese - iRapida Telecom <[EMAIL PROTECTED]> > wrote: > >> > >> Bo
Re: [FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede
Olá Eu implementei o nocat + radius em um cliente p/ essa finalidade (ja esta no ports). No meu caso era um provedor wireless, a solução foi excelente. *Evita que um sabidao use a banda do provedor sem ser assinante *A interação com o radius me gera relatorios de utilização do link (usuarios on-line, tempo de uso, etc..) *Dispensa qualquer tipo de pppoe (a atenticação é feita pelo browser) *Depois de autenticado, voce pode jogar o usuraio p/ sua pagina, onde pode voce pode vender espaços publicitarios, ou mesmo anunciar seus proprios produtos. Aqui tem um bom artigo sobre o proprio http://www.slackwarenaveia.org/modules.php?name=Sections&op=viewarticle&artid=327 Espero que ajude... [ ]´s ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
[FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede
Encontrei o chillispot... alguem já usou/usa esse captive portal??? Parece fazer esse trabalho... www.chillispot.org []s -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Christopher Giese - iRapida Telecom Enviada em: segunda-feira, 13 de fevereiro de 2006 09:37 Para: Lista de discussao sobre FreeBSD Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede Salve eh o server nao esta diretamente no next-hope ;) e nem todas as aps ou switchs que tenho possuem tal feature :) comecei a estudar o nocat mas achei ele muito suscetível a quedas/problemas :) entaum estou estudando / implementando com pfauth ;) ja encontrei alguns applets java que fazem a comunicacao ssh via web e tals ainda esta tudo em faze de testes / laboratorio assim que tiver algo mais concreto lhes passo Gostaria de agradecer a todos que deram ideias, dicas.. valeu mesmo obs.: Se tiver ai algum NINJA em pfauth e quiser dar umas dicas (fora o que tem no site de pf do open.) serei grato :) t+ Christopher Giese [EMAIL PROTECTED] Luiz Zanardo wrote: > Christopher, > > Porque tu não usa dot1x (802.1X) ? > > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia > uma boa parte dos switchs e AP já suportam pois é um padrão IEEE). > > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a > autorização de acesso a rede ficaria por responsabilidade dos switchs > e do AP que liberaria este acesso mediante apenas uma autenticação > positiva do RADIUS (caso contrario, porta do switch fica down, no caso > do ap o acesso não é permitido/roteado). > > Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN > Guest (uma rede a parte para que os usuarios não autenticados acessem > com mais restrições), pois outras tecnologias não implementão ainda > esta feature. > > Da para fazer algumas coisas mais legais do tipo uma > "semi-police-compliance" nos pcs antes de acessarem a rede em vlan > guest e/ou quarentena, verificando se a maquina esta infectada com > algum virus, patchs atualizados, etc etc etc (isso envolve > desenvolvimento), desenvolver alguma integração com o NAC (Network > Admission Center) da Cisco (caso seja ambiente cisco), entre outras > cositas mais... :) > > Resumindo, vc tem accounting, autorização e autenticação feito pelo > Radius (em BSD), acredito que voce não va precisar que alguem > autentique num site sendo que o controle ja esta sendo feito > diretamente na porta do switch e/ou no AP, mas caso precise, o que > voce pode fazer é o seguinte, criar uma Vlan de quarentena para que os > usuarios acessem teu site e se autentique, logo apos a autenticação, > um script pode acessar o switch e trocar a porta de vlan para uma vlan > de produção qualquer onde ele tenha acesso as ferramentas de trabalho > necessarias, isso envolveria um pouco de desenvolvimento! > > Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode > trabalhar ele para que seja um Firewall Subnetado fazendo com que > todas suas VLANs sejam roteadas atraves dele tendo o controle total da > rede. > > É isto... > > > Att, > Luiz Zanardo > > > > > On 2/9/06, Christopher Giese - iRapida Telecom <[EMAIL PROTECTED]> > wrote: > >> Bom dia Senhores.. >> >> estou iniciando algumas pesquisas para implementacao de um >> projeto.. e gostaria de saber se alguem ai ja trabalhou com algo >> parecido >> >> A ideia seria o seguinte. >> >> Micros (clientes windows)... com seus ips... que possuem em >> algum lugar (nao necessariamente o next-hope) um Gateway >> FreeBSD.. Isto nao numa rede Wireless... e sim num rede >> interna de empresa mesmo.. >> >> A ideia eh que o micros windows (usuarios) quando forem usufruir da >> rede. precisem se logar via WEB ai o firewall libera a >> conexao para tais ips (isto baseado em algum banco de dados ou algo >> do genero).. e se nao se logar. nao acessa nada >> >> nao me refiro apenas a proxy (a ideia eh nao ter proxy >> mesmo). me refiro a um mero metodo de autenticacao... que avalia >> se o usuario pode ou nao usar o sistema... e ai libera conexoes de >> firewall (em todas as portas) >> >> alguem ai ja utilizou algo assim para uma rede interna alguma >> dica ? >> >> houvi falar no nocat. mas o que li foi para linux... e para >> wifi. >> >> alguma experiencia >> >> falou ae >> >> -- >> []´s >> Christopher Giese >> System Network Security Administrator - iRapida Telecom >> [EMAIL PROTECTED] - +55 44 3619 >> >> "O futuro nada mais é que sonhos, projetos, esperanças que só serão >> possíveis se o hoje assim decidir. Nada mais temos neste mundo senão >> o exatamente agora." >> >> >> ___ >> freebsd mailing list >> freebsd@fug.com.br >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br >> >> > _
Re: [FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede
E o ispadmin eh show de bola, sou cliente do Sergio, e posso assinar em baixo, alem de otimizar minha rotina de trabalho, organiza e regulariza to nosso controle. www.ispadmin.com.br André Luiz dos Reis Gerente de Redes - Original Message - From: "Sérgio José Ferreira" <[EMAIL PROTECTED]> To: "'Lista de discussao sobre FreeBSD'" Sent: Friday, February 10, 2006 6:52 PM Subject: [FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede Eu tenho isso funcionando. Com autenticação radius e controle de banda. Mas esta solução que desenvolvemos está embutida no nosso software de gerenciamento de provedores que é comercial. Mas funciona assim : O cliente tenta acessar alguma página o sistema intercepta ele e joga numa página de autenticação. O cliente fornece os dados de autenticação, o sistema verifica no servidor radius. No nosso caso, o sistema também verifica no sistema de contas a receber pra ver se o cliente possui débitos e retorna uma mensagem de acordo ou simplesmente desvia ele para a página que ele solicitou no inicio do processo. Sobre o sistema ( http://www.ispadmin.com.br ) FREEBSD + PHP + RADIUS + APACHE + IPFW Sérgio José Ferreira WGO Telecom 64 3411 3000 -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de William Armstrong Enviada em: quinta-feira, 9 de fevereiro de 2006 10:44 Para: Lista de discussao sobre FreeBSD Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede presentinho pra v6 http://www.hpi.net/whitepapers/warta/ sei que este link é pra wifi mas acredito que seja só desativar a parte do wifi =o) Em 09/02/06, Giovanni P. Tirloni<[EMAIL PROTECTED]> escreveu: > Christopher Giese - iRapida Telecom wrote: > > Bom dia Senhores.. > > Ae Christopher! Tudo certo ? > > > > > estou iniciando algumas pesquisas para implementacao de um projeto.. > > e gostaria de saber se alguem ai ja trabalhou com algo parecido > > > > A ideia seria o seguinte. > > > > Micros (clientes windows)... com seus ips... que possuem em > > algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. > > Isto nao numa rede Wireless... e sim num rede interna de empresa > > mesmo.. > > > > A ideia eh que o micros windows (usuarios) quando forem usufruir da > > rede. precisem se logar via WEB ai o firewall libera a conexao > > para tais ips (isto baseado em algum banco de dados ou algo do > > genero).. e se nao se logar. nao acessa nada > > > > nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). > > me refiro a um mero metodo de autenticacao... que avalia se o usuario > > pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas > > as portas) > > > > alguem ai ja utilizou algo assim para uma rede interna alguma dica > > ? > > > > houvi falar no nocat. mas o que li foi para linux... e para > > wifi. > > > > alguma experiencia > > > > falou ae > > > > Sobre a parte de autenticação acho que o authpf faz o que você quer. > Deve ter algum cliente ssh melhor que logar via putty para isso (algo > que fique na tray). > >www.openbsd.org/faq/pf/authpf.html > > -- > Giovanni P. Tirloni > http://blog.tirloni.org > > ___ > freebsd mailing list > freebsd@fug.com.br > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > -- -=-=-=-=-=-=-=-=-=- William David Armstrong Bio Systems Security. ICQ 10253747 MSN biosystems ]at[ gmail . com -- <. Of course it runs <| <' NetBSD, OpenBSD or FreeBSD -- ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br -- No virus found in this incoming message. Checked by AVG Free Edition. Version: 7.1.375 / Virus Database: 267.15.5/256 - Release Date: 10/02/2006 ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
[FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede
Eu tenho isso funcionando. Com autenticação radius e controle de banda. Mas esta solução que desenvolvemos está embutida no nosso software de gerenciamento de provedores que é comercial. Mas funciona assim : O cliente tenta acessar alguma página o sistema intercepta ele e joga numa página de autenticação. O cliente fornece os dados de autenticação, o sistema verifica no servidor radius. No nosso caso, o sistema também verifica no sistema de contas a receber pra ver se o cliente possui débitos e retorna uma mensagem de acordo ou simplesmente desvia ele para a página que ele solicitou no inicio do processo. Sobre o sistema ( http://www.ispadmin.com.br ) FREEBSD + PHP + RADIUS + APACHE + IPFW Sérgio José Ferreira WGO Telecom 64 3411 3000 -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de William Armstrong Enviada em: quinta-feira, 9 de fevereiro de 2006 10:44 Para: Lista de discussao sobre FreeBSD Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede presentinho pra v6 http://www.hpi.net/whitepapers/warta/ sei que este link é pra wifi mas acredito que seja só desativar a parte do wifi =o) Em 09/02/06, Giovanni P. Tirloni<[EMAIL PROTECTED]> escreveu: > Christopher Giese - iRapida Telecom wrote: > > Bom dia Senhores.. > > Ae Christopher! Tudo certo ? > > > > > estou iniciando algumas pesquisas para implementacao de um projeto.. > > e gostaria de saber se alguem ai ja trabalhou com algo parecido > > > > A ideia seria o seguinte. > > > > Micros (clientes windows)... com seus ips... que possuem em > > algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD.. > > Isto nao numa rede Wireless... e sim num rede interna de empresa > > mesmo.. > > > > A ideia eh que o micros windows (usuarios) quando forem usufruir da > > rede. precisem se logar via WEB ai o firewall libera a conexao > > para tais ips (isto baseado em algum banco de dados ou algo do > > genero).. e se nao se logar. nao acessa nada > > > > nao me refiro apenas a proxy (a ideia eh nao ter proxy mesmo). > > me refiro a um mero metodo de autenticacao... que avalia se o usuario > > pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas > > as portas) > > > > alguem ai ja utilizou algo assim para uma rede interna alguma dica > > ? > > > > houvi falar no nocat. mas o que li foi para linux... e para > > wifi. > > > > alguma experiencia > > > > falou ae > > > > Sobre a parte de autenticação acho que o authpf faz o que você quer. > Deve ter algum cliente ssh melhor que logar via putty para isso (algo > que fique na tray). > >www.openbsd.org/faq/pf/authpf.html > > -- > Giovanni P. Tirloni > http://blog.tirloni.org > > ___ > freebsd mailing list > freebsd@fug.com.br > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > -- -=-=-=-=-=-=-=-=-=- William David Armstrong Bio Systems Security. ICQ 10253747 MSN biosystems ]at[ gmail . com -- <. Of course it runs <| <' NetBSD, OpenBSD or FreeBSD -- ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
[FUG-BR] RES: Projeto Autenticacao via web para Utilizacao da Rede
Thiago, Vc tem algum material sobre o nocat??? Procurei pra cacete alguma coisa sobre nocat e freebsd, mas não achei nada... :-( No ports tem 3 opcoes para instalação (nocatsplash, nocatauth-server e nocatauth-server) e estou meio perdido em qual usar. To querendo fazer a autenticação em banco mysql (já tenho o cadastro de usuários) e meu firewall esta configurado com IPFW. Outra coisa que estou curioso, o servidor apache pode estar em outra máquina??? []s -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de [EMAIL PROTECTED] Enviada em: sexta-feira, 10 de fevereiro de 2006 06:14 Para: Lista de discussao sobre FreeBSD Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede O nocat é muito massa. O "splash" (nocatsplash) é o nocat reescrito em C, pois o original é em perl. Legal tambem que ele funciona com radius, e possui varios tipos de captive, pode definir o primeiro site a aparecer e tudo mais... Tem uma infinidade de coisas q consegue fazer com o nocat... Em 10/2/2006, "Thiago Damas" <[EMAIL PROTECTED]> escreveu: > Precisas de um captive portal. > Tem o chillispot, nocatauth, nocatsplash (esses tem no ports). > Tambem podes te basear no pfsense e/ou no m0n0wall. Ou podes fazer um > pra ti. Nao eh muito dificil nao. > >Em 09/02/06, Christopher Giese - iRapida Telecom<[EMAIL PROTECTED]> >escreveu: >> Bom dia Senhores.. >> >> estou iniciando algumas pesquisas para implementacao de um >> projeto.. e gostaria de saber se alguem ai ja trabalhou com algo >> parecido >> >> A ideia seria o seguinte. >> >> Micros (clientes windows)... com seus ips... que possuem em >> algum lugar (nao necessariamente o next-hope) um Gateway >> FreeBSD.. Isto nao numa rede Wireless... e sim num rede >> interna de empresa mesmo.. >> >> A ideia eh que o micros windows (usuarios) quando forem usufruir da >> rede. precisem se logar via WEB ai o firewall libera a >> conexao para tais ips (isto baseado em algum banco de dados ou algo >> do genero).. e se nao se logar. nao acessa nada >> >> nao me refiro apenas a proxy (a ideia eh nao ter proxy >> mesmo). me refiro a um mero metodo de autenticacao... que avalia >> se o usuario pode ou nao usar o sistema... e ai libera conexoes de >> firewall (em todas as portas) >> >> alguem ai ja utilizou algo assim para uma rede interna alguma >> dica ? >> >> houvi falar no nocat. mas o que li foi para linux... e para >> wifi. >> >> alguma experiencia >> >> falou ae >> >> -- >> []´s >> Christopher Giese >> System Network Security Administrator - iRapida Telecom >> [EMAIL PROTECTED] - +55 44 3619 >> >> "O futuro nada mais é que sonhos, projetos, esperanças que só serão >> possíveis se o hoje assim decidir. Nada mais temos neste mundo senão >> o exatamente agora." >> >> >> ___ >> freebsd mailing list >> freebsd@fug.com.br >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br >> >___ >freebsd mailing list >freebsd@fug.com.br >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br