Edison, To escrevendo essa ideia num tutorial, se puder ajudar :)
http://wiki.luizgustavo.pro.br/doku.php?id=artigos_geral:captive_portal Abrçs, Luiz Gustavo - http://www.luizgustavo.pro.br Em 13/02/06, yahhoo<[EMAIL PROTECTED]> escreveu: > Fiz isso com php,uma interface web que cria uma regra do firewall, qdo o > usuario se conecta desvio as portas pra um apache numa porta x aberta com a > pagina de autenticacao, dai eh so criar a regra, to usando mysql num > servidor central, funciona muito bem. > > Tks > > Edison > > ----- Original Message ----- > From: "Luiz Zanardo" <[EMAIL PROTECTED]> > To: "Lista de discussao sobre FreeBSD" <freebsd@fug.com.br> > Sent: Saturday, February 11, 2006 1:25 PM > Subject: Re: [FUG-BR] Projeto Autenticacao via web para Utilizacao da Rede > > > Custo com o q ? > > Switchs e AP voce ja possui (senao vc nao vai ter a rede, heehe), o unico > custo seria do servidor p/ BSD e o tempo para configuracao... > > Falei de cisco pq o IOS faz algumas coisas q os outros switchs (3com, > extreme, alcatel, entre outros) nao fazem (vlan guest, por exemplo), mas o > 802.1X puro hoje em dia quase todos switches possuem, os APs posuem sem > duvida. > > O Nocat-gateway e muito bom, mas nao resolve o problema do Giese por > completo pois pelo q entendi ele quer fazer isso em uma lan seja wireless ou > wired, portanto o controle deve ser feito no switch e no AP diretamente pois > e a unica forma de permitir ou nao que o acesso a rede seja feito de forma > efetiva, caso contrario, o usuario ja estaria na rede antes mesmo da > autenticacao em uma rede local (estou falando de LAN, nao wan como alguns > estao citando), na WAN nada melhor que o PPPOE + NOCAT. > > Giese, tu pretende fazer isso na LAN ou na WAN??? > > > Att, > Luiz Zanardo > > > On 2/11/06, [EMAIL PROTECTED] <[EMAIL PROTECTED]> wrote: > > > > Essa soluçao concerteza é das boas, soh que o custo dela é muito elevado. > > Uma das alternativas poderia ser usar PPP over Ethernet, ou entao, o > > nocat. > > > > Creio eu que o nocat funciona assim: > > > > O nocat-gateway fica junto na maquina com o apache, e o nocat-auth eh o > > cara q brinca com a autenticacao (logicamente). > > O ports tem um break que nao permite instalar o gateway e o auth na mesma > > maquina, entao assim, compile na mao mesmo, ou edite o Makefile. > > Pode ser feita autenticacao em SQL, radius, um monte de coisa. > > > > Enfim, vi README > > > > Best regards! > > > > Em 10/2/2006, "Luiz Zanardo" <[EMAIL PROTECTED]> escreveu: > > > > > Christopher, > > > > > > Porque tu não usa dot1x (802.1X) ? > > > > > > Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma > > boa > > >parte dos switchs e AP já suportam pois é um padrão IEEE). > > > > > > Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a > > autorização > > >de acesso a rede ficaria por responsabilidade dos switchs e do AP que > > >liberaria este acesso mediante apenas uma autenticação positiva do RADIUS > > >(caso contrario, porta do switch fica down, no caso do ap o acesso não é > > >permitido/roteado). > > > > > > Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN > > Guest > > >(uma rede a parte para que os usuarios não autenticados acessem com mais > > >restrições), pois outras tecnologias não implementão ainda esta feature. > > > > > > Da para fazer algumas coisas mais legais do tipo uma > > >"semi-police-compliance" nos pcs antes de acessarem a rede em vlan guest > > >e/ou quarentena, verificando se a maquina esta infectada com algum virus, > > >patchs atualizados, etc etc etc (isso envolve desenvolvimento), > > desenvolver > > >alguma integração com o NAC (Network Admission Center) da Cisco (caso > > seja > > >ambiente cisco), entre outras cositas mais... :) > > > > > > Resumindo, vc tem accounting, autorização e autenticação feito pelo > > Radius > > >(em BSD), acredito que voce não va precisar que alguem autentique num > > site > > >sendo que o controle ja esta sendo feito diretamente na porta do switch > > e/ou > > >no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma > > Vlan > > >de quarentena para que os usuarios acessem teu site e se autentique, logo > > >apos a autenticação, um script pode acessar o switch e trocar a porta de > > >vlan para uma vlan de produção qualquer onde ele tenha acesso as > > ferramentas > > >de trabalho necessarias, isso envolveria um pouco de desenvolvimento! > > > > > > Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode > > >trabalhar ele para que seja um Firewall Subnetado fazendo com que todas > > suas > > >VLANs sejam roteadas atraves dele tendo o controle total da rede. > > > > > > É isto... > > > > > > > > > Att, > > > Luiz Zanardo > > > > > > > > > > > > > > >On 2/9/06, Christopher Giese - iRapida Telecom <[EMAIL PROTECTED]> > > wrote: > > >> > > >> Bom dia Senhores...... > > >> > > >> estou iniciando algumas pesquisas para implementacao de um > > projeto...... > > >> e gostaria de saber se alguem ai ja trabalhou com algo parecido > > >> > > >> A ideia seria o seguinte..... > > >> > > >> Micros (clientes windows)....... com seus ips....... que possuem em > > >> algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD...... > > >> Isto nao numa rede Wireless... e sim num rede interna.... de empresa > > >> mesmo...... > > >> > > >> A ideia eh que o micros windows (usuarios) quando forem usufruir da > > >> rede..... precisem se logar via WEB.... ai o firewall libera a conexao > > >> para tais ips (isto baseado em algum banco de dados ou algo do > > >> genero).......... e se nao se logar..... nao acessa nada > > >> > > >> nao me refiro apenas a proxy.... (a ideia eh nao ter proxy mesmo)..... > > >> me refiro a um mero metodo de autenticacao... que avalia se o usuario > > >> pode ou nao usar o sistema... e ai libera conexoes de firewall (em > > todas > > >> as portas).... > > >> > > >> alguem ai ja utilizou algo assim para uma rede interna ???? alguma dica > > >> ????? > > >> > > >> houvi falar no nocat..... mas o que li foi para linux... e para > > >> wifi......... > > >> > > >> alguma experiencia ???? > > >> > > >> falou ae > > >> > > >> -- > > >> []´s > > >> Christopher Giese > > >> System Network Security Administrator - iRapida Telecom > > >> [EMAIL PROTECTED] - +55 44 36194444 > > >> > > >> "O futuro nada mais é que sonhos, projetos, esperanças que só serão > > >> possíveis se o hoje assim decidir. > > >> Nada mais temos neste mundo senão o exatamente agora." > > >> > > >> > > >> _______________________________________________ > > >> freebsd mailing list > > >> freebsd@fug.com.br > > >> http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > > >> > > >_______________________________________________ > > >freebsd mailing list > > >freebsd@fug.com.br > > >http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.b > > _______________________________________________ > > freebsd mailing list > > freebsd@fug.com.br > > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > > > _______________________________________________ > freebsd mailing list > freebsd@fug.com.br > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > > > > _______________________________________________________ > Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! > http://br.acesso.yahoo.com > _______________________________________________ > freebsd mailing list > freebsd@fug.com.br > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > _______________________________________________ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br