+ Responder ao Tópico



  1. #1

    Padrão Controle de acesso por ip x mac x horario, sem squid?

    Bom dia povo do fórum, em uma pequena rede gostaria de impor algumas regras sem que seja preciso usar o squid, que inclusive, nem tenho instalado. O servidor é debian 7 com duas placas de redes, com apache instalado. Começei implantar uma solução baseada em muitos posts do vol, minha necessidade é a seguinte:

    Com base no arquivo de clientes, /etc/clientes.lst

    #ip;mac;plano;cliente
    192.168.254.1;ad:41:41:fb:fb:ac;i;Bill
    192.168.254.2;ad:41:41:fb:fb:ad;n;Jobs
    192.168.254.3;ad:41:41:fb:fb:ae;d;mark



    Onde plano, pode ser i=integral(24h por dia), n=noturno(19:00 as 7:00), d=diurno(7:00 as 19:00).

    Dentro de /var/www/ tenho 3 arquivos:

    index.html (para informar valores de planos)
    erro_horario.html (informar bloqueio fora do horario do plano)
    erro_nao_cadastrado.html (informar bloqueio para usuarios nCadastrados.


    Agora o que esta faltando... fazer um script de firewall que libera o acesso para os planos relacionados, conforme o horario, e quem estiver fora do horario, redirecionar para http://sevidor/erro_horario.html

    Quem nao tiver cadastrado conforme ip x mac direcionar para http://sevidor/erro_nao_cadastrado.html

    conto com alguém, obg até mais.

  2. #2

    Padrão

    Squid é o melhor pra isso! Já que você não quer instalá-lo, aconselho a ver se existem essas opções no MK-AUTH ou no próprio RouterOS.

  3. #3

    Padrão

    Realmente, vou me render ao squid, mas gostaria de usar o 3, pq ja to no debian 7.
    Nao necessito usar cache por enquanto. só msm log de acesso, e esse controle de acesso por mac x ip, com restriçao de horários.
    Mais tarde vou começar olhar os tópicos anteriores pra ver se acho algo. Mas se alguém estiver disposto a dar uma ajudinha nessas acls, eu deixo

  4. #4

    Padrão

    Esse primeiro link se refere ao livro do morimoto, inclusive tenho ele, pense num livro bom.
    O chato do squid, é que a configuração nao se mistura no shell, dai vou ter q por um ip num arquivo, outro em outro arquivo e por ai vai. Mas se é o jeito neh, vamo nessa

  5. #5

    Padrão

    Crie range de IPs no Squid.

  6. #6

    Padrão

    Boa noite, acabei de ler um comentário em um post, dizendo que mesmo dividindo esses ips, só valeria para acesso http, pois fpt, ssh etc nao passaria pelo squid...

    https://under-linux.org/showthread.php?t=127509

    Confira no comentario do Andriopj

    Sendo assim, continuarei tentando no firewall

  7. #7

    Padrão

    Isso você faz no Iptables, já que as mensagens que você aparecem apenas no navegador!

  8. #8

    Padrão

    Surfinho, me ajuda corrigir a seguinte linha:

    # Assim funciona, mas o usuário 'cai' na index.html

    Código :
    iptables -t nat -A PREROUTING -s $ip -p tcp DNAT --to 192.168.100.254

    # Assim nao funciona, pois o usuario acessa o destino desejado.
    Código :
    iptables -t nat -A PREROUTING -s $ip -p tcp DNAT --to 192.168.100.254/bloqueado.html

    Please...

  9. #9

    Padrão

    VAlei-me !!!
    quanta mao de obra...

    mas muito obrigado, já eh uma luz

  10. #10

    Padrão

    Eu tenho esse livro impresso. Acabei de ler o capitulo sobre apache.
    Fiz os virtualhosts, ficou uma maravilha, porém, de que adianta os nomes de domínios, se o iptables so aceita endereço ip?
    Travei nessa parte, nao entendi como funciona.

  11. #11

    Padrão

    Instalei o mk-auth numa vm, fui conferir o que o Pedro filho fez no apache. Ele muda apenas as portas e o diretório, conforme o amigo ali acima disse.
    Eu só nao uso um gerenciador desse tipo, pq eh uma infinidade de cadastro de um monte de coisa, e a rede por aki é bem simples, inclusive, tenho muitos amigos com pequenas redes como a minha.
    Mas to quase chegando a finalizar o que preciso.