Internet pelo MAC da palca

Ola pessoal, aqui onde trabalho temos um linux para a internet ele ta rodando o squid com autenticação de usuarios, tambem temos um script com o nome de rc.mask onde nós adicionamos o ip e liberamos as maquinas para passar direto pelo proxy sem precisar usar a autenticação. O problema é que o pessoal sabe quais são as maquinas que tem o acesso liberado, e dai estão colocando os ip's manualmente e ta enchendo de conflito, gostaria de saber se tem como liberar a internet em vez de colocar o ip da palca de rede colocar o seu mac adress dai resolveria este problema.
Obrigado pela atenção

Tem uma soluçao, só q se vc tiver algum usuario esperto ele pode descobrir como burlar, mas vou te passar:

Voce pode configurar sua rede com DHCP atribuindo o ip de cada usuario pelo mac da placa. aí depois vc só colocaria nas suas regras de squid a liberaçao dos ip liberados.
O negócio é mudara faixa de ip dos macs liberados, onde digamos q hoje é a faixa seja 192.168.0.10 até a 20, vc mudaria e atribuiria os ips liberados entre 192.168.0.200 até 210... deu pra entender ?
o bom seria se vc atribuísse um ip pra determinado mac, e mesmo o usuario configurando o ip manualmente nao daria certo, pois o ip estaria amarrado ao mac.

mas imagino q seja uma ajuda razoável.. se quiser te mando um dhcp.conf pra vc ver ae...

flw

cara...

existem diversas formas de vc aumentar a segurança da sua rede...
1 - squid autenticado - a liberação para navegar vai depeder do login do cabra
2 - dhcp com MACxIP
3 - firewall com MACxIP
4 - bloqueando a mudança de endereçamento IP das maquinas clientes

e assim vai...

uma solução q seria boa é implementar o squid com autenticação... vc tem mais segurança, e pode limitar para os usuários nao compartilharem a senha..

valeu
[]'s

Eu ja faria PPP over Ethernet...

concordo com o ultimo amigo que falou de pppoe eh muito boa a solução eu utilizo aqui em um provedor e roda legal

as linhas que eu tenho em meu script para liberar as maquinas pra passar direto pelo proxy são assim:
/usr/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.220 -j MASQUERADE
dai em vez de colocar este ip ai eu queria saber se não tem como por o mac da placa, se não tiver um jeito de fazer isso vc's poderiam me dizer algum tuto de como trabalhar com este PPP over Ethernet

Agradeço a ajuda de todos

Vou dar minha dica tb....

Voce pode amarrar os mac aos ips com o comando arp -f se não me engano. Vc cria uma arquivo chamdo ethers dentro de /etc. O conteudo desse arquivo teria os ips e mac dos clientes, pronto ai é so vc executar o comando acima citado e so navegara que tiver aquele ip com aquele mac caso contrario nao navega.

Acho essa opção melhor do q ficar cadastrando tudo no fw.

É apenas mais uma dica.

Ah!!! E respondendo sua pergunta, tem como colocar o mac no fw sim. Aki no ender tem alguns tutos que explicam isso.

Valew...

cara...

deu a entender que vc trabalha em uma empresa que não é um provedor de internet, neste caso o pppoe não será uma boa opção...

vc disse q já usa squid autenticado, neste caso está faltando uma analisada em suas regras e sua politica de acl's,

qual o motivo de alguns IP's não passarem pelo proxy??

se é para não aplicar as regras a estes IP's vc pode fazer por usuário como disse acima, então de nada vai adiantar os usuários trocarem os IP's, se o q vai deixa-los navegar ou não será o login...

Será que vc's poderiam me dizer como eu faço para liberar no meu squid para liberar qualquer coisa para determinado usuario, e esta outra opção com a criação deste arquivo chamado ethers será que vc's poderiam colocar uma linha que seja só para mim poder ver como deve ficar o arquivo.
Obrigado galera.

cara...

o ethers tem no man do arp

e pra vc deixar um usuário liberado total com o squid vc coloca ele antes da ACL de bloqueio...

Tem uma acl no squid que permite que você bloqueie ou libere apenas determinados usuários para o acesso ao proxy. Aí vai:

#Bloqueia o acesso atraves do MAC da placa de rede
acl bloqueia_mac arp 00:40:C7:A6:18:A8
http_access deny bloqueia_mac

Da mesma forma como foi utilizada para bloqueio, a mesma acl pode ser utilizada para liberação do MAC Address em questão apenas com a substituição do "deny" por "allow" na última linha.

Vale ressaltar que o squid identifica o MAC Address de um determinado host apenas se este está na mesma rede do proxy.

Tenta utilizar isto e posta o resultado.

Sobre como usar o ethers, ai vai:

Procure dentro de seu /etc se o arquivo existe. (find /etc -name ethers)
Se nao encontrar, vc cria um. (toch /etc/ethers)
Agora edite o arquivo da seguinte forma:

192.168.0.1 xx:xx:xx:xx:xx:xx
192.168.0.2 xx:xx:xx:xx:xx:xx
192.168.0.3 xx:xx:xx:xx:xx:xx
.
.
.
192.168.0.252 xx:xx:xx:xx:xx:xx
192.168.0.253 xx:xx:xx:xx:xx:xx
192.168.0.254 xx:xx:xx:xx:xx:xx

o xx é o mac de suas placas, mantenha o xx nos ips que não sao utilizados.

Agora execute o comando arp -f, e pronto.

Com isso vc força os usuários a usarem o ip definido por vc, pois se eles modificarem o ip não ira bater com o mac, então eles nao conseguirao navegar.