[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptables y filtrado de muuuuchas MAC

El 13/05/2014 19:46, José Miguel (sio2) escribió:

El Tue, 13 de May de 2014, a las 05:22:01PM +0000, Camaleón dijo:


En ese caso podrías una configuración de proxy transparente aunque para
lo que buscas no sé si te serviría... pero sí ya tienes squid y no usas
autentificación entiendo que es esta debe ser la configuración actual ¿no?


Sí, y no. Ahora mismo está funcionando como proxy transparente, pero ya
lo he configurado para filtrar tráfico https y eso no se puede hacer de
modo transparente. El problema es que el modo no transparente exige
configurar, así que, cuando se acerque final de curso (esto es un
instituto) y haga la imagen para el año que viene, incluiré la
configuración, clonaré, y lo habilitaré en modo no transparente.
No te hace falta. Abre otro puerto en Squid en modo no transparente y configura WPAD. Solo necesitas añadir un registro DNS (wpad.tudominio.com) y poner un ficherito wpad.dat en la raiz del servidor web http://wpad.tudominio.com.
El fichero wpad.pad se parece a esto. Como ves va a determinar cuando los clientes de tu LAN deben usar tu proxy: 

function FindProxyForURL(url, host){
  if(isPlainHostName(host)) return DIRECT;
if(isInNet(dnsResolver(host), "192.168.1.0", "255.255.255.0")) return DIRECT; 
  if(shExpMatch(url, "*192.168.1.*")) return "DIRECT";
  if(isInNet(myIpAddress(), "10.1.1.0", "255.255.255.0")) return DIRECT;
  if(
    url.substring(0, 5) == "http:" ||
    url.substring(0, 6) == "https:" ||
    url.substring(0, 5) == "ftp:"
   )
  return "PROXY 192.168.1.254:3228";
  return "DIRECT";
}





Esto sólo lo podrás evitar creando una jaula (entorno cautivo) y
obligando a los equipos de la red local a pasar por tu pasarela/proxy (o
como quieras llamarlo) para poder salir a Internet.


Un pfSense o algo por el estilo, entiendo. No lo he implementado nunca,
pero desde mis pocos conocimientos, entiendo que eso implica
autenticación. No quiero la red así, sino una red más o menos abierta
(la contraseña es pública), pero sin acceso de los smartphones que son
legión y se me acaban comiendo las ips disponibles y el ancho de banda.


¡Ah! Gracias por tus respuestas.

De nada, a ver si a alguien se le ocurre alguna otra idea :-)


Esperemos. Si no hay mejor solución, a ver si algún gurú en iptables me
dice si se pueden optimizar más las reglas.
Respecto a la duda que planteas no sabría decirte, pero para cargar un montón de reglas a iptables cada 2 por 3 sin penalizar el rendimiento es muy recomendable usar ipset de iptables: 

http://ipset.netfilter.org/

Y sobretodo:

http://www.linuxjournal.com/content/advanced-firewall-configurations-ipset

Saludos.


--
Francesc Guitart
Reply to: