[FUGSPBR] Controle de clientes em Internet Condominial.

andre andreq em infolink.com.br
Dom Dez 1 20:34:48 BRST 2002


Quanto a autenticação:

Poderia ser feito um aplicativo web simples no teu servidor,que o cara
autentica e é criada uma regra no ipfw liberando o ip do cliente. Porém o
grande problema é saber quando esse mesmo cliente desconectou e apagar essa
regra.
Um workaround talvez fosse um job no cron com intervalo x (digamos 1
minuto), ficar pingando a máquina dos usuários liberados na firewall, caso o
ping falhe ele tenta novamente em alguns segundos e se falhar novamente o ip
do cara é retirado. Mas isso é falho caso o usuário use uma firewall que
negue icmp.

-----Original Message-----
From: fugspbr-admin em fugspbr.org [mailto:fugspbr-admin em fugspbr.org]On
Behalf Of Alfredo Tomio Junior
Sent: domingo, 1 de dezembro de 2002 18:57
To: fugspbr em fugspbr.org
Subject: [FUGSPBR] Controle de clientes em Internet Condominial.


Há, alguns dias atrás enviei um e-mail sobre controle de clientes em
conexões condominiais
A conectividade é compartilhada através de hub ou switch para os condominos.
Para controle dos clientes, implementei algumas configurações adicionais no
DHCP: ele libera o IP especifico para o seu  MAC address registrado no
/etc/dhcpdb.pool. Criei uma tabela que fixa o IP com o respectivo MAC
address que é ativado na inicialização (arp -s ip mac), sendo que esta forma
não se mostrou segura, pois, me deparei com clientes utilizando a rede mesmo
estando supostamente bloqueados pela tabela, veja (arp -na):

? (192.168.0.20) at aa:aa:aa:aa:aa:aa on rl0 permanent [ethernet]
? (192.168.0.21) at 00:e0:4c:56:0c:df on rl0
[ethernet] --------------------este cliente era para estar bloqueado.
? (192.168.0.22) at 00:00:39:61:99:c2 on rl0 permanent [ethernet]

 O cliente mais "esperto" pode não deixar seu micro pegar IP via DHCP e sim
coloca-lo manualmente na configuração de rede.

Utilizo agora o IPFW deixando passar os IPs  que estão liberados e
bloqueando tudo o que não tiver referencia:

00129 skipto 200 ip from 192.168.0.30 to any in recv rl0
00130 skipto 200 ip from 192.168.0.31 to any in recv rl0
00131 skipto 200 ip from 192.168.0.27 to any in recv rl0
00150 deny ip from 192.168.0.0/24 to any in recv rl0
00200 divert 8668 ip from any to any via rl1
65535 allow ip from any to any

Porem desta forma, se o cliente souber o IP do vizinho poderá coloca-lo em
seu computador e utiliza-lo enquanto o verdadeiro dono do IP não estiver com
o micro ligado.

Mas eu gostaria de saber se não existe alguma outra forma de controlar ?? Ja
pensei em colocar autenticação no SQUID, mas ai somente vai bloquear a WEB.
Lembro que quando conectava o IG precisava digitar nome e senha, para depois
começar a utilizar o serviço TCP/IP (www, pop3, smtp, ftp). Quando não
digitava a senha correta o computador não navegava, não recebia nem enviava
e-mails etc. Ficava inoperante na Internet mesmo estando conectado.

Existe alguma forma do cliente quando for utilizar os serviços de Internet
Condominial, precisar se autenticar para depois começar a utilizar POP3,
SMTP, WWW, FTP etc. ???
Como posso faze-lo ??

Valeu,

Alfredo Tomio Junior

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd