El Tue, 13 May 2014 18:55:15 +0200, José Miguel (sio2) escribió: > El Tue, 13 de May de 2014, a las 04:19:01PM +0000, Camaleón dijo: > >> Pues en teoría te haría falta: >> >> 1/ Tener las redes separadas físicamente para forzar el paso por el >> proxy de todos los clientes de la red. > > La red wifi está en una VLAN separada, sí. > >> 2/ En cuanto al proxy, cualquiera con autentificación de usuarios te >> sirve. Una vez que los tengas catalogados (por usuarios, por MAC, IP, >> etc...) podrás decir qué grupos pueden navegar y cuáles no. > > He usado (y uso) squid (¿te refieres a algo como squid?), pero le veo a > eso varios inconvenientes:
Sí, claro, squid te sirve. > + No deseo autentificación de usuarios: en principio se puede conectar > cualquiera sin permisos especiales, porque no hay ningún problema en > que se conecte algún que otro portátil: el problema son los > smartphones, porque todo el mundo tiene uno. En ese caso podrías una configuración de proxy transparente aunque para lo que buscas no sé si te serviría... pero sí ya tienes squid y no usas autentificación entiendo que es esta debe ser la configuración actual ¿no? > + No me vale un filtrado exclusivo por MAC, porque los smartphones son > cada uno de su padre y de su madre. Por ese motivo, los identifico con > los parámetros que envían cuando pretenden obtener una ip y, ya > identificados, apunto su MAC.[1] Como lo ponías en el asunto... vale, entonces eso quiere decir que desconoces los dispositivos que se van a conectar a tu red. > + ¿Qué ventaja de procesamiento da el que el filtrado de MAC lo realice, > pongamos, squid a que lo realice directamente iptables? ¿En cuanto a rendimiento, dices? Ni idea, no tengo esos datos :-? pero no me gusta mucho estar tocando iptables, prefiero usar proxy o alguna otra solución dedicada para controlar el acceso a internet de los equipos. > [1] Quizás me como mucho la cabeza, porque aun poniendo en práctica lo > que > quiero hay otra forma de seguir burlándome: conectarse sin pedir ip, > y luego ponerse una ip fija, así jamás se apunta la MAC, porque jamás > interviene el dhcp. Pero esto ya me parece demasiado rebuscamiento. Esto sólo lo podrás evitar creando una jaula (entorno cautivo) y obligando a los equipos de la red local a pasar por tu pasarela/proxy (o como quieras llamarlo) para poder salir a Internet. > ¡Ah! Gracias por tus respuestas. De nada, a ver si a alguien se le ocurre alguna otra idea :-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.13.17.22...@gmail.com