bom... podera ajudar mtos, eh sempre bom ver quem esta disposto a ajudar...
porem, o squid eh um dos maiores consumidor de memoria na maquina.
alem do mais.. o cliente continuaria tendo acesso a msn, skype, ftp, https, e outros que nao passam pelo squid.
entao, na minha opiniao, nao aconselho a usa-lo para tal fim.
porem, para nao deixar a comunidade na mao... deixarei aqui minha dica:
1> CONFIGURACAO DO DHCP
deixaremos o dhcp configurado para somente enviar ip para as maquinas cadastradas...
facilitando a administrando de permissao de acesso as maquinas cadastradas...
o dhcpd ficaria mais ou menos assim:
Citação:
#dhcpd conf
ddns-update-style none;
default-lease-time 21600;
max-lease-time 43200;
authoritative;
subnet 172.168.0.0 netmask 255.255.0.0 {
option routers 172.167.0.1;
option domain-name "bosque.lgmtecnologia.com.br";
option domain-name-servers seus_servidores_dns;
}
#andrio/0001
host andrio {
hardware ethernet 00:xx:xx:xx:xx:xx;
fixed-address 172.167.0.9;
option subnet-mask 255.255.255.0;
}
#cliente2/0002
host cliente2 {
hardware ethernet 00:yy:yy:yy:yy:yy;
fixed-address 172.167.0.10;
option subnet-mask 255.255.255.0;
}
2> CONFIGURACAO DO FIREWALL
A:Criando tabela de clientes> Crie um arquivo na qual contera os dados para administracao dos clientes:
#touch /etc/bd
#vim /etc/bd
exemplo: IP;MAC;NumeroPacote;0;Cliente
Citação:
172.167.0.9;00:xx:xx:xx:xx:xx;0;1721670002;andrio
172.167.0.10;00:yy:yy:yy:yy:yy;0;1721670002;cliente2
B:Controlando o acesso(iptables)> No seu firewall, adicione as seguintes linhas:
(no inicio do firewall)
Citação:
# Paramentros de controle de acesso
MACLIST=/etc/bd
echo " Controle de acesso.....................[ OK ]"
(Antes do compartilhamento entre as placas)
Citação:
# # Controle de ACESSO##
# Diretivas do BD IP, MAC e Port
for i in `cat $MACLIST`; do
IPSOURCE=`echo $i | cut -d ';' -f 1`
MACSOURCE=`echo $i | cut -d ';' -f 2`
# Controle de Acesso IPxMAC
iptables -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
iptables -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
#Pacote Marcado
iptables -A PREROUTING -t mangle -i eth1 -s $IPSOURCE -j MARK --set-mark $CBQMARK
done
Observacao: nesse caso, o firewall esta bem restritivo... com as politicas padroes INPUT e FORWARD com drop
Citação:
iptables -P INPUT DROP
iptables -P FORWARD DROP
para se bloquear um cliente, basta mudar os "00" (zeros) iniciais do mac do cliente cadastrado na tabela... ou seja, o mac verdadeiro do cliente fica diferente do mac cadastrado no bd, assim sendo, o cliente estara bloqueado...