[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptables y filtrado de muuuuchas MAC

El Tue, 13 May 2014 18:55:15 +0200, José Miguel (sio2) escribió:

> El Tue, 13 de May de 2014, a las 04:19:01PM +0000, Camaleón dijo:
> 
>> Pues en teoría te haría falta:
>> 
>> 1/ Tener las redes separadas físicamente para forzar el paso por el
>> proxy de todos los clientes de la red.
> 
> La red wifi está en una VLAN separada, sí.
> 
>> 2/ En cuanto al proxy, cualquiera con autentificación de usuarios te
>> sirve. Una vez que los tengas catalogados (por usuarios, por MAC, IP,
>> etc...) podrás decir qué grupos pueden navegar y cuáles no.
> 
> He usado (y uso) squid (¿te refieres a algo como squid?), pero le veo a
> eso varios inconvenientes:

Sí, claro, squid te sirve.

> + No deseo autentificación de usuarios: en principio se puede conectar
>   cualquiera sin permisos especiales, porque no hay ningún problema en
>   que se conecte algún que otro portátil: el problema son los
>   smartphones, porque todo el mundo tiene uno.

En ese caso podrías una configuración de proxy transparente aunque para 
lo que buscas no sé si te serviría... pero sí ya tienes squid y no usas 
autentificación entiendo que es esta debe ser la configuración actual ¿no?

> + No me vale un filtrado exclusivo por MAC, porque los smartphones son
>   cada uno de su padre y de su madre. Por ese motivo, los identifico con
>   los parámetros que envían cuando pretenden obtener una ip y, ya
>   identificados, apunto su MAC.[1]

Como lo ponías en el asunto... vale, entonces eso quiere decir que 
desconoces los dispositivos que se van a conectar a tu red.

> + ¿Qué ventaja de procesamiento da el que el filtrado de MAC lo realice,
>   pongamos, squid a que lo realice directamente iptables?

¿En cuanto a rendimiento, dices? Ni idea, no tengo esos datos :-? pero no 
me gusta mucho estar tocando iptables, prefiero usar proxy o alguna otra 
solución dedicada para controlar el acceso a internet de los equipos.

> [1] Quizás me como mucho la cabeza, porque aun poniendo en práctica lo
> que
>    quiero hay otra forma de seguir burlándome: conectarse sin pedir ip,
>    y luego ponerse una ip fija, así jamás se apunta la MAC, porque jamás
>    interviene el dhcp. Pero esto ya me parece demasiado rebuscamiento.

Esto sólo lo podrás evitar creando una jaula (entorno cautivo) y 
obligando a los equipos de la red local a pasar por tu pasarela/proxy (o 
como quieras llamarlo) para poder salir a Internet.

> ¡Ah! Gracias por tus respuestas.

De nada, a ver si a alguien se le ocurre alguna otra idea :-)

Saludos,

-- 
Camaleón
Reply to: