Squid amarrando ip+mac

[Gbytes]

Fiquei alguns dias procurando alguma solução para amarrar o ip e o mac para que os clientes não ficassem trocando, a maioria das soluções era com iptables e tinha que mudar o meu firewall todo, então comecei a procurar uma forma de fazer isso com o próprio squid, e descobri uma forma, que faz com que o cliente só possa usar o ip fornecido pelo provedor, caso ele troque o ip, quando ele for navegar recebe uma mensagem do próprio squid de acesso bloqueado.

vamos então ao squid.conf

Bom baseado que vc ja possua seu squid funcionando e tudo mais estando ok, adiocione as seguintes regras acl no seu squid.conf

Eu uso a categoria de rede 10.0.0.0 mais nada impede que se use 172.16.0.0 ou 192.168.0.0

acl cli_ip01 src 10.0.1.2 ## CLIENTE 1
acl cl_mac01 arp FF:FF:FF:FF:FF:FF

acl cli_ip02 src 10.0.2.2 ## CLIENTE 2
acl cli_ip02 src 10.0.2.3
acl cl_mac02 arp EE:EE:EE:EE:EE:EE
acl cl_mac02 arp DD:CD:CD:CD:CD:CD

acl cli_ip03 src 10.0.3.2 ## CLIENTE 3
acl cli_ip03 src 10.0.3.3
acl cli_ip03 src 10.0.3.4
acl cl_mac03 arp CC:CC:CC:CC:CC:CC

## no primeiro cliente é criada uma acl para o ip dele e para o mac da placa ou ap
## dele.
## no segundo caso o cliente possui duas placas ou aps e dois ips, e no terceiro
## caso o cliente possui um ap e nesse ap tem 3 computadores ligados nele, nesse
## caso só o mac do ap que é fornecido, pois quando o ap esta em modo client,
## todos os macs atrás dele não aparecem no servidor, então basta colocar o
## mac do ap e liberar os ips.

## agora que vem a regra que libera os ips e macs.

http_access allow cli_ip01 cl_mac01
http_access allow cli_ip02 cl_mac02
http_access allow cli_ip03 cl_mac03

## como vc criou uma acl para cada cliente, essa acl fica conectada com a outra
## acl com o mac, pois vc liberou o acesso para o cliente1 e mac1 e assim
## sucessivamente.
## No cliente 2 e 3 temos acl´s que repetem o nome, mais não é erro não, o squid
## funciona assim : cada acl com o mesmo nome é como se fosse o mesmo arquivo
## com varias linhas.
## então no caso do cliente 2 ele vai liberar o ip 10.0.2.2 e 10.0.2.3 para somente
## os macs EE:EE:EE:EE:EE:EE e o mac DD:CD:CD:CD:CD:CD
## e no caso do cliente 3 ele vai liberar 3 ips para o mesmo mac.

qualquer mac que não esteja cadastrado, não vai navegar pois não vai possuir nenhuma acl direcionando para ele, e se algum cliente que possui mac cadastrado trocar o ip, não vai conseguir navegar pois para isso precisa estar com o mac e o ip na mesma regra do http_access.

Esse é o meu primeiro post.

Espero que ajude alguem.

[ederamboni]

amigo, parabens pelo post, me ajudara em muito numa pequena rede aqui, portanto em uma grande aplicação o squid.conf ficara enorme, nao teria como amenizar através de um arquivo onde conteria o mac e o ip, vejo problema somente em o squid entender a situação...

qual sua sujestão?

[Gbytes]

Então Eder, o problema é justamente esse, o arquivo do squid.conf em uma rede muito grande tbem ficaria enorme, essa solução é boa somente com redes pequenas, no meu caso aqui tenho 100 clientes cadastrados e funciona bem, mais tive de criar uma acl para cada cliente e informar o mac de cada um e criar uma http_access para cada um tbem, fica ai para os colegas do forum a idéia de aperfeiçoar o sistema.

[AndrioPJ]

bom... podera ajudar mtos, eh sempre bom ver quem esta disposto a ajudar...

porem, o squid eh um dos maiores consumidor de memoria na maquina.
alem do mais.. o cliente continuaria tendo acesso a msn, skype, ftp, https, e outros que nao passam pelo squid.
entao, na minha opiniao, nao aconselho a usa-lo para tal fim.

porem, para nao deixar a comunidade na mao... deixarei aqui minha dica:

1> CONFIGURACAO DO DHCP
deixaremos o dhcp configurado para somente enviar ip para as maquinas cadastradas...
facilitando a administrando de permissao de acesso as maquinas cadastradas...

o dhcpd ficaria mais ou menos assim:

#dhcpd conf
ddns-update-style none;
default-lease-time 21600;
max-lease-time 43200;

authoritative;

subnet 172.168.0.0 netmask 255.255.0.0 {
option routers 172.167.0.1;
option domain-name "bosque.lgmtecnologia.com.br";
option domain-name-servers seus_servidores_dns;
}


#andrio/0001
host andrio {
hardware ethernet 00:xx:xx:xx:xx:xx;
fixed-address 172.167.0.9;
option subnet-mask 255.255.255.0;
}

#cliente2/0002
host cliente2 {
hardware ethernet 00:yy:yy:yy:yy:yy;
fixed-address 172.167.0.10;
option subnet-mask 255.255.255.0;
}

2> CONFIGURACAO DO FIREWALL

A:Criando tabela de clientes> Crie um arquivo na qual contera os dados para administracao dos clientes:
#touch /etc/bd
#vim /etc/bd

exemplo: IP;MAC;NumeroPacote;0;Cliente

172.167.0.9;00:xx:xx:xx:xx:xx;0;1721670002;andrio
172.167.0.10;00:yy:yy:yy:yy:yy;0;1721670002;cliente2

B:Controlando o acesso(iptables)> No seu firewall, adicione as seguintes linhas:

(no inicio do firewall)

# Paramentros de controle de acesso
MACLIST=/etc/bd
echo " Controle de acesso.....................[ OK ]"

(Antes do compartilhamento entre as placas)

# # Controle de ACESSO##
# Diretivas do BD IP, MAC e Port
for i in `cat $MACLIST`; do
IPSOURCE=`echo $i | cut -d ';' -f 1`
MACSOURCE=`echo $i | cut -d ';' -f 2`

# Controle de Acesso IPxMAC
iptables -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
iptables -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT

#Pacote Marcado
iptables -A PREROUTING -t mangle -i eth1 -s $IPSOURCE -j MARK --set-mark $CBQMARK

done

Observacao: nesse caso, o firewall esta bem restritivo... com as politicas padroes INPUT e FORWARD com drop

iptables -P INPUT DROP
iptables -P FORWARD DROP

para se bloquear um cliente, basta mudar os "00" (zeros) iniciais do mac do cliente cadastrado na tabela... ou seja, o mac verdadeiro do cliente fica diferente do mac cadastrado no bd, assim sendo, o cliente estara bloqueado...

[ederamboni]

Muito bom mesmo, obrigado pessoal achei minha solução.
Vou teste primeiramente com o squid.conf sao 40 pc's depois vou implementa no dhcp mesmo como nosso amigo mascaraapj, mais uma vez obrigado pessoal pela atenção..

abraços a todos...

[AndrioPJ]

desculpa gente... esqueci uma parte do script do firewall
corrigi a falha ja...
agora esta completo

[ederamboni]

desculpa gente... esqueci uma parte do script do firewall
corrigi a falha ja...
agora esta completo

Amigo você comentou no seu post anterior que o msn, skype etc... ficaria passando direto certo.

eu uso aq authenticação no proxy com grupos de acesso, e amarrando o ip ao mac no squid.conf eu perderia a o controle de authenticação do proxy? ou colocando logo acima do parametro

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd

pela logica ele so deicharia autenticar quem estiver liberado correto?


abracos...

[AndrioPJ]

bom amigo
nesse caso, nao sei te responder...
pois nunca testei...

mas veja bem... o squid so responde pela porta 80 q redirecionamos para ele...

vamos supor, q o usuario coloque o ip la manualmente, e tente acessar skype, msn, outros...
isso nao passa pelo squid... entao... como ele iria bloquear?

mas faca o teste ai

[ederamboni]

na realidade ja tenho ele bloqueando esses protocolos....
posto resultados...
abracos...

[Gbytes]

Então colega Mascara, aqui eu resolvi o problema de acesso ao msn e outras coisas mais no firewall com simples regras tbem.

############ BLOQUEIO DE CLIENTES

iptables -A FORWARD -s 10.0.0.10/32 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 10.0.0.10/32 -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -s 10.0.0.10/32 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -s 10.0.0.10/32 -p tcp --dport 1:65535 -j DROP
iptables -A FORWARD -s 10.0.0.10/32 -p udp --dport 1:65535 -j DROP

para entender as regras : as 3 primeiras linhas eu libero para o ip 10.0.0.10 a porta 80, 8080 e 3128, respectivamente : navegação, apache e squid. E bloqueio todas as outras portas tanto em tcp como udp nas linhas 4 e 5.

Usando o sistema de amarração de ip e mac do squid, quando vc quizer bloquear o cliente vc modifica o mac no cadastro dele e muda a regra no firewall fazendo com que ele só possa achar a porta do squid e a porta do seu apache, que no meu caso é a porta 8080, assim vc pode criar uma página personalizada de bloqueio informando o cliente.

Espero ter ajudado.

[ederamboni]

ja pra quem quer bloquear o msn no squid.conf e fiz da seguinte forma , mas meu squid e autenticado ok



#################################################
############### BLOQUEIA O MESSENGER ################
################################################
#
acl bloquear_msn dstdomain "/etc/squid/bloqueio/bloquear_msn"
acl acesso_msn proxy_auth "/etc/squid/acessos/acesso_msn"
http_access allow acesso_msn bloquear_msn
http_access deny bloquear_msn
deny_info Google bloquear_msn
################################################

depois dentro do arquivo bloquear_msn eu coloquei o seguinte conteudo

200.177.97.157
207.46.111.54
207.46.111.54/gateway
207.46.113.220
207.46.108.51
207.68.178.239
65.212.92.104
65.50.10.6
65.212.92.111
64.58.88.113
ADSAdClient31.dll
passport.com
sc.msn.com
rad.msn.com
c.msn.com
mymsn.hotmail.com
ads1.msn.com
storage.msn.com
st.msn.com
stc.msn.com
msn_messenger
config.messenger.msn.com
media.meegos.com
messenger
gateway.dll
messenger.msn.com.br
http.msg.yahoo.com
nickname.msn.com.br
chat.msn.com
chat.msn.com.br
msgr.hotmail.com
gateway.messenger.hotmail.com
http1.msgr.
http2.msgr.hotmail.com
http3.msgr.hotmail.com
http4.msgr.hotmail.com
http5.msgr.hotmail.com
http6.msgr.hotmail.com
http7.msgr.hotmail.com
http8.msgr.hotmail.com
http9.msgr.hotmail.com
http10.msgr.hotmail.com
http11.msgr.hotmail.com
http12.msgr.hotmail.com
http13.msgr.hotmail.com
http14.msgr.hotmail.com
http15.msgr.hotmail.com
http16.msgr.hotmail.com
http17.msgr.hotmail.com
http18.msgr.hotmail.com
http19.msgr.hotmail.com
http20.msgr.hotmail.com
x-msn

no meu arquivo acesso_msn eu coloquei o nome dos individuos autorizados a acessar o msn, porem com a ideia acima fica facil de implementar um bloqueio de msn mesmo sem autenticação como tenho em uma farmacia municipal....


dando os creditos a nosso amigo do VOL JOAO PAULO FARIAS DE ARAUJO
tem um artigo dele de controle de acesso com autenticação muito facil de implementar...

[AndrioPJ]

mas ai nao eh trabalho em dobro?

[ederamboni]

mas ai nao eh trabalho em dobro?

realmente seria em dobro mesmo, mas num proxy com autenticação haveria uma outra forma?

[AndrioPJ]

realmente seria em dobro mesmo, mas num proxy com autenticação haveria uma outra forma?

vc pode colocar a autenticacao pelo squid.. sem precisar amarrar ip ao mac pelo squid..
e fazer o controle de acesso pelo firewall... com a dica que dei..

[ederamboni]

realmente seria em dobro mesmo, mas num proxy com autenticação haveria uma outra forma?

Desculpe minha ter me espressado mal
outra forma de bloquear o msn pra alguns users....(um exemplo)

[Magnun]

Pessoal, movi o tópico para área de Proxy/NAT/Firewall!

Até mais...