[FUGSPBR] Controle de clientes em Internet Condominial.
tec
tec em mega.net.br
Dom Dez 1 21:41:33 BRST 2002
a única forma "segura" é fazer autenticação RADIUS, no AP pode configurar isto
Qualquer outra forma é para ser burlado mesmo ou muito complicado demais.
-----Original Message-----
From: "Alfredo Tomio Junior" <atj em sodisa.com.br>
To: <fugspbr em fugspbr.org>
Date: Sun, 1 Dec 2002 18:56:46 -0200
Subject: [FUGSPBR] Controle de clientes em Internet Condominial.
> Há, alguns dias atrás enviei um e-mail sobre controle de clientes em
> conexões condominiais
> A conectividade é compartilhada através de hub ou switch para os
> condominos.
> Para controle dos clientes, implementei algumas configurações
> adicionais no
> DHCP: ele libera o IP especifico para o seu MAC address registrado no
> /etc/dhcpdb.pool. Criei uma tabela que fixa o IP com o respectivo MAC
> address que é ativado na inicialização (arp -s ip mac), sendo que esta
> forma
> não se mostrou segura, pois, me deparei com clientes utilizando a rede
> mesmo
> estando supostamente bloqueados pela tabela, veja (arp -na):
>
> ? (192.168.0.20) at aa:aa:aa:aa:aa:aa on rl0 permanent [ethernet]
> ? (192.168.0.21) at 00:e0:4c:56:0c:df on rl0
> [ethernet] --------------------este cliente era para estar bloqueado.
> ? (192.168.0.22) at 00:00:39:61:99:c2 on rl0 permanent [ethernet]
>
> O cliente mais "esperto" pode não deixar seu micro pegar IP via DHCP e
> sim
> coloca-lo manualmente na configuração de rede.
>
> Utilizo agora o IPFW deixando passar os IPs que estão liberados e
> bloqueando tudo o que não tiver referencia:
>
> 00129 skipto 200 ip from 192.168.0.30 to any in recv rl0
> 00130 skipto 200 ip from 192.168.0.31 to any in recv rl0
> 00131 skipto 200 ip from 192.168.0.27 to any in recv rl0
> 00150 deny ip from 192.168.0.0/24 to any in recv rl0
> 00200 divert 8668 ip from any to any via rl1
> 65535 allow ip from any to any
>
> Porem desta forma, se o cliente souber o IP do vizinho poderá coloca-lo
> em
> seu computador e utiliza-lo enquanto o verdadeiro dono do IP não
> estiver com
> o micro ligado.
>
> Mas eu gostaria de saber se não existe alguma outra forma de controlar
> ?? Ja
> pensei em colocar autenticação no SQUID, mas ai somente vai bloquear a
> WEB.
> Lembro que quando conectava o IG precisava digitar nome e senha, para
> depois
> começar a utilizar o serviço TCP/IP (www, pop3, smtp, ftp). Quando não
> digitava a senha correta o computador não navegava, não recebia nem
> enviava
> e-mails etc. Ficava inoperante na Internet mesmo estando conectado.
>
> Existe alguma forma do cliente quando for utilizar os serviços de
> Internet
> Condominial, precisar se autenticar para depois começar a utilizar
> POP3,
> SMTP, WWW, FTP etc. ???
> Como posso faze-lo ??
>
> Valeu,
>
> Alfredo Tomio Junior
>
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd