[FUGSPBR] Controle de clientes em Internet Condominial.

Rogerio Heringer rogerio em aeronet.com.br
Seg Dez 2 10:12:02 BRST 2002 

Caros,
Para um problema sem solucao (pelo menos simples) aconselho usar o que
melhor funciona;
uso:
pf + /etc/macs.txt + estatisticas do mrtg pegando pelo  pf (Eduardo
Alvarenda fez o script)...

vc pega todos os ips daquele condominio e barra tudo por PF , depois associa
o mac aos ips que tem user cadastrado e coloca o mrtg gerando grafico de
TODOS os ips .
fique torcendo para os users nao descobrirem como mudar o mac pelo destino
(alias eu nunca vi um user conseguir) e caso alguem passe a navegar por um
ip Nao cadastrado voce saberá pelo mrtg (eu uso um indexCAO) com todos os
ips da rede do condominio...
se o user mudar para cima de um ip que esta cadastrado para outro user o
verdadeiro user vai reclamar :)

outra, em caso extremos vc quebraria sua rede com mascaras 252 para cada
cliente colocando um ip tipo 192.168.1.1 , 192.168.2.1 ,192.168.3.1 ...
mascara 252...

qquer coisa estamos ai

[]'s

Rogerio Heringer




----- Original Message -----
From: "Leonardo Amaral" <leo em portal7.com.br>
To: <fugspbr em fugspbr.org>
Sent: Monday, December 02, 2002 8:05 AM
Subject: Re: [FUGSPBR] Controle de clientes em Internet Condominial.


> É simples:
> Configure o firewall para que ele permita navegação somente dos MAC
> cadastrados com seus respectivos IP's, c o cara alterar o MAc dele, ele
naum
> vai conseguir navegar....
> Ou seja, o firewall vai liberar o acesso apenas se atender as 2 condições
o
> MAC.... acredito q desta forma o cara não conseguirá navegar, agora c o
cara
> for mais esperto que isso, CORTE o cabo dele e pronto ! :oþ
>
> Essa seria a maneira FISICA mais segura ! :oþ
>
> Leonardo Amaral
> Portal7
>
>
> > O MAC address pode ser mudado facilmente no destino ( ou seja na ponta
> remota ), até para o
> > Ruindows tem como fazer e no Unix vc aprende isso na primeira aula,
porque
> pode ser setado
> > por software, ok
> >
> > a maneira certa de fazer é autenticação, mas claro se os caras dividem
as
> senhas ...
> >
> > ou você coloca como alguém já mecionou um equipamento proprietário, com
IP
> impossível de
> > mudar pelo usuário - OU - você faz autenticação - OU - você será burlado
> de qq jeito :)
> >
> > uma possibilidade que alguém explicou em parte tb seria colocar um monte
> de alias no seu
> > gateway para controlar subredes /30 ainda não sei se o IPFW2 pode ajudar
> nas rotas para
> > impossibilitar alguém entrar com outro MAC e/ou IP nesta rota, se isto
> funcina seria uma boa
> >
> >
> >
> >
> > Suporte Meganet
> >
> >
> > -----Original Message-----
> > From: "Leonardo Amaral" <leo em portal7.com.br>
> > To: <fugspbr em fugspbr.org>
> > Date: Sun, 1 Dec 2002 19:38:13 -0200
> > Subject: Re: [FUGSPBR] Controle de clientes em Internet Condominial.
> >
> > > Estou usando o ipfw2 com bloqueio via MAc address, desta forma, não
> > > interessa o ipd do cidadão, ele navegará somente se o firewall
> > > deixar....
> > >
> > > Já pensou em fazer ipfw por mac address ? Fica um pouco mais difícil.
> > >
> > > Melhor que isso, acho que só com switches programáveis por porta...
> > >
> > >
> > >
> > > At 05:56 PM 12/1/2002, you wrote:
> > > >Há, alguns dias atrás enviei um e-mail sobre controle de clientes em
> > > >conexões condominiais
> > > >A conectividade é compartilhada através de hub ou switch para os
> > > condominos.
> > > >Para controle dos clientes, implementei algumas configurações
> > > adicionais no
> > > >DHCP: ele libera o IP especifico para o seu  MAC address registrado
no
> > > >/etc/dhcpdb.pool. Criei uma tabela que fixa o IP com o respectivo MAC
> > > >address que é ativado na inicialização (arp -s ip mac), sendo que
esta
> > > forma
> > > >não se mostrou segura, pois, me deparei com clientes utilizando a
rede
> > > mesmo
> > > >estando supostamente bloqueados pela tabela, veja (arp -na):
> > > >
> > > >? (192.168.0.20) at aa:aa:aa:aa:aa:aa on rl0 permanent [ethernet]
> > > >? (192.168.0.21) at 00:e0:4c:56:0c:df on rl0
> > > >[ethernet] --------------------este cliente era para estar bloqueado.
> > > >? (192.168.0.22) at 00:00:39:61:99:c2 on rl0 permanent [ethernet]
> > > >
> > > >  O cliente mais "esperto" pode não deixar seu micro pegar IP via
DHCP
> > > e
> > > sim
> > > >coloca-lo manualmente na configuração de rede.
> > > >
> > > >Utilizo agora o IPFW deixando passar os IPs  que estão liberados e
> > > >bloqueando tudo o que não tiver referencia:
> > > >
> > > >00129 skipto 200 ip from 192.168.0.30 to any in recv rl0
> > > >00130 skipto 200 ip from 192.168.0.31 to any in recv rl0
> > > >00131 skipto 200 ip from 192.168.0.27 to any in recv rl0
> > > >00150 deny ip from 192.168.0.0/24 to any in recv rl0
> > > >00200 divert 8668 ip from any to any via rl1
> > > >65535 allow ip from any to any
> > > >
> > > >Porem desta forma, se o cliente souber o IP do vizinho poderá
> > > coloca-lo em
> > > >seu computador e utiliza-lo enquanto o verdadeiro dono do IP não
> > > estiver
> > > com
> > > >o micro ligado.
> > > >
> > > >Mas eu gostaria de saber se não existe alguma outra forma de
controlar
> > > ??
> > > Ja
> > > >pensei em colocar autenticação no SQUID, mas ai somente vai bloquear
a
> > > WEB.
> > > >Lembro que quando conectava o IG precisava digitar nome e senha, para
> > > depois
> > > >começar a utilizar o serviço TCP/IP (www, pop3, smtp, ftp). Quando
não
> > > >digitava a senha correta o computador não navegava, não recebia nem
> > > enviava
> > > >e-mails etc. Ficava inoperante na Internet mesmo estando conectado.
> > > >
> > > >Existe alguma forma do cliente quando for utilizar os serviços de
> > > Internet
> > > >Condominial, precisar se autenticar para depois começar a utilizar
> > > POP3,
> > > >SMTP, WWW, FTP etc. ???
> > > >Como posso faze-lo ??
> > > >
> > > >Valeu,
> > > >
> > > >Alfredo Tomio Junior
> > > >
> > > >_______________________________________________________________
> > > >Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> > > >Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> > >
> > > _______________________________________________________________
> > > Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> > > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> > >
> > >
> > > _______________________________________________________________
> > > Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> > > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> >
> > _______________________________________________________________
> > Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> > Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> >
>
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd