Re: iptables y filtrado de muuuuchas MAC
El Tue, 13 May 2014 18:55:15 +0200, José Miguel (sio2) escribió:
> El Tue, 13 de May de 2014, a las 04:19:01PM +0000, Camaleón dijo:
>
>> Pues en teoría te haría falta:
>>
>> 1/ Tener las redes separadas físicamente para forzar el paso por el
>> proxy de todos los clientes de la red.
>
> La red wifi está en una VLAN separada, sí.
>
>> 2/ En cuanto al proxy, cualquiera con autentificación de usuarios te
>> sirve. Una vez que los tengas catalogados (por usuarios, por MAC, IP,
>> etc...) podrás decir qué grupos pueden navegar y cuáles no.
>
> He usado (y uso) squid (¿te refieres a algo como squid?), pero le veo a
> eso varios inconvenientes:
Sí, claro, squid te sirve.
> + No deseo autentificación de usuarios: en principio se puede conectar
> cualquiera sin permisos especiales, porque no hay ningún problema en
> que se conecte algún que otro portátil: el problema son los
> smartphones, porque todo el mundo tiene uno.
En ese caso podrías una configuración de proxy transparente aunque para
lo que buscas no sé si te serviría... pero sí ya tienes squid y no usas
autentificación entiendo que es esta debe ser la configuración actual ¿no?
> + No me vale un filtrado exclusivo por MAC, porque los smartphones son
> cada uno de su padre y de su madre. Por ese motivo, los identifico con
> los parámetros que envían cuando pretenden obtener una ip y, ya
> identificados, apunto su MAC.[1]
Como lo ponías en el asunto... vale, entonces eso quiere decir que
desconoces los dispositivos que se van a conectar a tu red.
> + ¿Qué ventaja de procesamiento da el que el filtrado de MAC lo realice,
> pongamos, squid a que lo realice directamente iptables?
¿En cuanto a rendimiento, dices? Ni idea, no tengo esos datos :-? pero no
me gusta mucho estar tocando iptables, prefiero usar proxy o alguna otra
solución dedicada para controlar el acceso a internet de los equipos.
> [1] Quizás me como mucho la cabeza, porque aun poniendo en práctica lo
> que
> quiero hay otra forma de seguir burlándome: conectarse sin pedir ip,
> y luego ponerse una ip fija, así jamás se apunta la MAC, porque jamás
> interviene el dhcp. Pero esto ya me parece demasiado rebuscamiento.
Esto sólo lo podrás evitar creando una jaula (entorno cautivo) y
obligando a los equipos de la red local a pasar por tu pasarela/proxy (o
como quieras llamarlo) para poder salir a Internet.
> ¡Ah! Gracias por tus respuestas.
De nada, a ver si a alguien se le ocurre alguna otra idea :-)
Saludos,
--
Camaleón
Reply to: