[FUG-BR] RES: RES: RES: Projeto Autenticacao via web para UtilizacaodaRede - TIMEOUT

Fabrício Fadel Kammer ffkammer em conchalnet.com.br
Ter Fev 14 09:18:19 BRST 2006


Opa Sérgio!

Nem tinha lembrado do parâmetro -T ;-) Esse resolve a questão de timeout

[]s

-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
nome de Sérgio José Ferreira
Enviada em: segunda-feira, 13 de fevereiro de 2006 18:15
Para: 'Lista de discussao sobre FreeBSD'
Assunto: [FUG-BR] RES: RES: Projeto Autenticacao via web para
UtilizacaodaRede - TIMEOUT


Fala sério... pra quê ping se o ipfw faz isso sozinho ?

Já experimentaram um ipfw -t show ?? ou -T 

Sérgio José Ferreira
WGO Telecom


-----Mensagem original-----
De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
nome de Luiz Gustavo Santos Costa Enviada em: segunda-feira, 13 de
fevereiro de 2006 13:24
Para: Lista de discussao sobre FreeBSD
Assunto: Re: [FUG-BR] RES: Projeto Autenticacao via web para Utilizacao
daRede

Fabrício, eu solucionei isso com um simples ping.. de tempo em tempo eu
fico rodando um script que fica pingando os clients, assim que um não
responde eu tiro as regras dele.

Abçs,

Luiz Gustavo - http://www.luizgustavo.pro.br

Em 13/02/06, Fabrício Fadel Kammer<ffkammer em conchalnet.com.br> escreveu:
> Edison,
>
> Pensei em fazer isso eu mesmo... mas e o timeout?? Como vc controla???
>
> Não dá pra desconectar o cliente após X tempo... e se ele tiver no 
> meio de um download ou de uma transação bancária na hora em que a 
> conexão expirar... tem que ser após X tempo de inatividade.
>
> []s
>
>
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em 
> nome de yahhoo Enviada em: segunda-feira, 13 de fevereiro de 2006 
> 10:25
> Para: Lista de discussao sobre FreeBSD
> Assunto: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da 
> Rede
>
>
> Fiz isso com php,uma interface web que cria uma regra do firewall, qdo

> o
>
> usuario se conecta desvio as portas pra um apache numa porta x aberta 
> com a pagina de autenticacao, dai eh so criar a regra, to usando mysql

> num servidor central, funciona muito bem.
>
> Tks
>
> Edison
>
> ----- Original Message -----
> From: "Luiz Zanardo" <lzanardo em gmail.com>
> To: "Lista de discussao sobre FreeBSD" <freebsd em fug.com.br>
> Sent: Saturday, February 11, 2006 1:25 PM
> Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da 
> Rede
>
>
>   Custo com o q ?
>
>   Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o 
> unico custo seria do servidor p/ BSD e o tempo para configuracao...
>
>   Falei de cisco pq o IOS faz algumas coisas q os outros switchs 
> (3com, extreme, alcatel, entre outros) nao fazem (vlan guest, por 
> exemplo), mas o 802.1X puro hoje em dia quase todos switches possuem, 
> os APs posuem sem duvida.
>
>   O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por

> completo pois pelo q entendi ele quer fazer isso em uma lan seja 
> wireless ou wired, portanto o controle deve ser feito no switch e no 
> AP diretamente pois e a unica forma de permitir ou nao que o acesso a 
> rede seja feito de forma efetiva, caso contrario, o usuario ja estaria

> na rede antes mesmo da autenticacao em uma rede local (estou falando 
> de LAN, nao wan como alguns estao citando), na WAN nada melhor que o 
> PPPOE
> + NOCAT.
>
>   Giese, tu pretende fazer isso na LAN ou na WAN???
>
>
>   Att,
>   Luiz Zanardo
>
>
> On 2/11/06, thiago em imbituba.sc.gov.br <thiago em imbituba.sc.gov.br> 
> wrote:
> >
> > Essa soluçao concerteza é das boas, soh que o custo dela é muito 
> > elevado. Uma das alternativas poderia ser usar PPP over Ethernet, ou

> > entao, o nocat.
> >
> > Creio eu que o nocat funciona assim:
> >
> > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth 
> > eh o cara q brinca com a autenticacao (logicamente). O ports tem um 
> > break
>
> > que nao permite instalar o gateway e o auth na mesma maquina, entao 
> > assim, compile na mao mesmo, ou edite o Makefile. Pode ser feita 
> > autenticacao em SQL, radius, um monte de coisa.
> >
> > Enfim,  vi README
> >
> > Best regards!
> >
> > Em 10/2/2006, "Luiz Zanardo" <lzanardo em gmail.com> escreveu:
> >
> > >  Christopher,
> > >
> > >  Porque tu não usa dot1x (802.1X) ?
> > >
> > >  Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia

> > > uma
> > boa
> > >parte dos switchs e AP já suportam pois é um padrão IEEE).
> > >
> > >  Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a
> > autorização
> > >de acesso a rede ficaria por responsabilidade dos switchs e do AP 
> > >que
>
> > >liberaria este acesso mediante apenas uma autenticação positiva do 
> > >RADIUS (caso contrario, porta do switch fica down, no caso do ap o 
> > >acesso não é permitido/roteado).
> > >
> > >  Caso tua infra seja de switchs/ap cisco tu pode ate implementar 
> > > VLAN
> > Guest
> > >(uma rede a parte para que os usuarios não autenticados acessem com

> > >mais restrições), pois outras tecnologias não implementão ainda 
> > >esta feature.
> > >
> > >  Da para fazer algumas coisas mais legais do tipo uma 
> > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan 
> > >guest e/ou quarentena, verificando se a maquina esta infectada com 
> > >algum virus, patchs atualizados, etc etc etc (isso envolve 
> > >desenvolvimento),
> > desenvolver
> > >alguma integração com o NAC (Network Admission Center) da Cisco 
> > >(caso
> > seja
> > >ambiente cisco), entre outras cositas mais... :)
> > >
> > >  Resumindo, vc tem accounting, autorização e autenticação feito 
> > > pelo
> > Radius
> > >(em BSD), acredito que voce não va precisar que alguem autentique 
> > >num
> > site
> > >sendo que o controle ja esta sendo feito diretamente na porta do 
> > >switch
> > e/ou
> > >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar 
> > >uma
> > Vlan
> > >de quarentena para que os usuarios acessem teu site e se 
> > >autentique, logo apos a autenticação, um script pode acessar o 
> > >switch e trocar a porta de vlan para uma vlan de produção qualquer 
> > >onde ele tenha acesso as
> > ferramentas
> > >de trabalho necessarias, isso envolveria um pouco de 
> > >desenvolvimento!
> > >
> > >  Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce 
> > >pode trabalhar ele para que seja um Firewall Subnetado fazendo com 
> > >que todas
> > suas
> > >VLANs sejam roteadas atraves dele tendo o controle total da rede.
> > >
> > >  É isto...
> > >
> > >
> > >  Att,
> > >  Luiz Zanardo
> > >
> > >
> > >
> > >
> > >On 2/9/06, Christopher Giese - iRapida Telecom 
> > ><chris em irapida.com.br>
> > wrote:
> > >>
> > >> Bom dia Senhores......
> > >>
> > >> estou iniciando algumas pesquisas para implementacao de um
> > projeto......
> > >> e gostaria de saber se alguem ai ja trabalhou com algo parecido
> > >>
> > >> A ideia seria o seguinte.....
> > >>
> > >> Micros (clientes windows)....... com seus ips....... que possuem 
> > >> em
>
> > >> algum lugar (nao necessariamente o next-hope) um Gateway 
> > >> FreeBSD...... Isto nao numa rede Wireless... e sim num rede 
> > >> interna.... de empresa mesmo......
> > >>
> > >> A ideia eh que o micros windows (usuarios)  quando forem usufruir

> > >> da rede..... precisem se logar via WEB.... ai o firewall libera a

> > >> conexao para tais ips (isto baseado em algum banco de dados ou 
> > >> algo
>
> > >> do genero).......... e se nao se logar..... nao acessa nada
> > >>
> > >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy 
> > >> mesmo)..... me refiro a um mero metodo de autenticacao... que 
> > >> avalia se o usuario pode ou nao usar o sistema... e ai libera 
> > >> conexoes de firewall (em
> > todas
> > >> as portas)....
> > >>
> > >> alguem ai ja utilizou algo assim para uma rede interna ???? 
> > >> alguma dica ?????
> > >>
> > >> houvi falar no nocat..... mas o que li foi para linux... e para 
> > >> wifi.........
> > >>
> > >> alguma experiencia ????
> > >>
> > >> falou ae
> > >>
> > >> --
> > >> []´s
> > >> Christopher Giese
> > >> System Network Security Administrator - iRapida Telecom 
> > >> chris em irapida.com.br - +55 44 36194444
> > >>
> > >> "O futuro nada mais é que sonhos, projetos, esperanças que só 
> > >> serão
>
> > >> possíveis se o hoje assim decidir. Nada mais temos neste mundo 
> > >> senão o exatamente agora."
> > >>
> > >>
> > >> _______________________________________________
> > >> freebsd mailing list
> > >> freebsd em fug.com.br 
> > >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> > >>
> > >_______________________________________________
> > >freebsd mailing list
> > >freebsd em fug.com.br 
> > >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b
> > _______________________________________________
> > freebsd mailing list
> > freebsd em fug.com.br 
> > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
> >
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br 
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
>
>
> _______________________________________________________
> Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador 
> agora! http://br.acesso.yahoo.com 
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br 
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
> _______________________________________________
> freebsd mailing list
> freebsd em fug.com.br 
> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
>
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br


_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br

_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br



Mais detalhes sobre a lista de discussão freebsd