Re: iptables y filtrado de muuuuchas MAC
El 13/05/2014 19:46, José Miguel (sio2) escribió:
El Tue, 13 de May de 2014, a las 05:22:01PM +0000, Camaleón dijo:
En ese caso podrías una configuración de proxy transparente aunque para
lo que buscas no sé si te serviría... pero sí ya tienes squid y no usas
autentificación entiendo que es esta debe ser la configuración actual ¿no?
Sí, y no. Ahora mismo está funcionando como proxy transparente, pero ya
lo he configurado para filtrar tráfico https y eso no se puede hacer de
modo transparente. El problema es que el modo no transparente exige
configurar, así que, cuando se acerque final de curso (esto es un
instituto) y haga la imagen para el año que viene, incluiré la
configuración, clonaré, y lo habilitaré en modo no transparente.
No te hace falta. Abre otro puerto en Squid en modo no transparente y
configura WPAD. Solo necesitas añadir un registro DNS
(wpad.tudominio.com) y poner un ficherito wpad.dat en la raiz del
servidor web http://wpad.tudominio.com.
El fichero wpad.pad se parece a esto. Como ves va a determinar cuando
los clientes de tu LAN deben usar tu proxy:
function FindProxyForURL(url, host){
if(isPlainHostName(host)) return DIRECT;
if(isInNet(dnsResolver(host), "192.168.1.0", "255.255.255.0")) return
DIRECT;
if(shExpMatch(url, "*192.168.1.*")) return "DIRECT";
if(isInNet(myIpAddress(), "10.1.1.0", "255.255.255.0")) return DIRECT;
if(
url.substring(0, 5) == "http:" ||
url.substring(0, 6) == "https:" ||
url.substring(0, 5) == "ftp:"
)
return "PROXY 192.168.1.254:3228";
return "DIRECT";
}
Esto sólo lo podrás evitar creando una jaula (entorno cautivo) y
obligando a los equipos de la red local a pasar por tu pasarela/proxy (o
como quieras llamarlo) para poder salir a Internet.
Un pfSense o algo por el estilo, entiendo. No lo he implementado nunca,
pero desde mis pocos conocimientos, entiendo que eso implica
autenticación. No quiero la red así, sino una red más o menos abierta
(la contraseña es pública), pero sin acceso de los smartphones que son
legión y se me acaban comiendo las ips disponibles y el ancho de banda.
¡Ah! Gracias por tus respuestas.
De nada, a ver si a alguien se le ocurre alguna otra idea :-)
Esperemos. Si no hay mejor solución, a ver si algún gurú en iptables me
dice si se pueden optimizar más las reglas.
Respecto a la duda que planteas no sabría decirte, pero para cargar un
montón de reglas a iptables cada 2 por 3 sin penalizar el rendimiento es
muy recomendable usar ipset de iptables:
http://ipset.netfilter.org/
Y sobretodo:
http://www.linuxjournal.com/content/advanced-firewall-configurations-ipset
Saludos.
--
Francesc Guitart
Reply to: