Re: iptables y filtrado de muuuuchas MAC
El Tue, 13 May 2014 19:46:21 +0200, José Miguel (sio2) escribió:
> El Tue, 13 de May de 2014, a las 05:22:01PM +0000, Camaleón dijo:
>
>> En ese caso podrías una configuración de proxy transparente aunque para
>> lo que buscas no sé si te serviría... pero sí ya tienes squid y no usas
>> autentificación entiendo que es esta debe ser la configuración actual
>> ¿no?
>
> Sí, y no. Ahora mismo está funcionando como proxy transparente, pero ya
> lo he configurado para filtrar tráfico https y eso no se puede hacer de
> modo transparente. El problema es que el modo no transparente exige
> configurar, así que, cuando se acerque final de curso (esto es un
> instituto) y haga la imagen para el año que viene, incluiré la
> configuración, clonaré, y lo habilitaré en modo no transparente.
Entendido.
>> Esto sólo lo podrás evitar creando una jaula (entorno cautivo) y
>> obligando a los equipos de la red local a pasar por tu pasarela/proxy
>> (o como quieras llamarlo) para poder salir a Internet.
>
> Un pfSense o algo por el estilo, entiendo. No lo he implementado nunca,
> pero desde mis pocos conocimientos, entiendo que eso implica
> autenticación. No quiero la red así, sino una red más o menos abierta
> (la contraseña es pública), pero sin acceso de los smartphones que son
> legión y se me acaban comiendo las ips disponibles y el ancho de banda.
(...)
Una solución de control de accesos y contenido, sí eso sería lo ideal
pero igualmente vas a tener que determinar quién pasa y quién no y el
meollo del asunto lo tienes ahí (es decir, determinar "a quién" o "qué"
filtras y cómo lo detectas con el menor número de falsos positivos
posible).
Mientras, mira a ver si puedes hacer algo con Squid que ya lo tienes
configurado y en marcha y que no requiera autentificación de usuarios
para que no tenags que hacer cambios bruscos, aunque sin uso de
credenciales siempre se te puede "colar" algo.
Por ejemplo, podrías decirle a Squid que filtre por el navegador web ya
que los teléfonos móviles y tabletas suelen tener versiones diferentes de
las de escritorio y que a este grupo les restringa el acceso a Internet.
Hasta que te dure el invento, claro, pero al menos es sencillo de
implementar ;-)
Saludos,
--
Camaleón
Reply to: