Estou usando o ipfw2 com bloqueio via MAc address, desta forma, n�o interessa o ipd do cidad�o, ele navegar� somente se o firewall deixar....
J� pensou em fazer ipfw por mac address ? Fica um pouco mais dif�cil. Melhor que isso, acho que s� com switches program�veis por porta... At 05:56 PM 12/1/2002, you wrote: >H�, alguns dias atr�s enviei um e-mail sobre controle de clientes em >conex�es condominiais >A conectividade � compartilhada atrav�s de hub ou switch para os condominos. >Para controle dos clientes, implementei algumas configura��es adicionais no >DHCP: ele libera o IP especifico para o seu MAC address registrado no >/etc/dhcpdb.pool. Criei uma tabela que fixa o IP com o respectivo MAC >address que � ativado na inicializa��o (arp -s ip mac), sendo que esta forma >n�o se mostrou segura, pois, me deparei com clientes utilizando a rede mesmo >estando supostamente bloqueados pela tabela, veja (arp -na): > >? (192.168.0.20) at aa:aa:aa:aa:aa:aa on rl0 permanent [ethernet] >? (192.168.0.21) at 00:e0:4c:56:0c:df on rl0 >[ethernet] --------------------este cliente era para estar bloqueado. >? (192.168.0.22) at 00:00:39:61:99:c2 on rl0 permanent [ethernet] > > O cliente mais "esperto" pode n�o deixar seu micro pegar IP via DHCP e sim >coloca-lo manualmente na configura��o de rede. > >Utilizo agora o IPFW deixando passar os IPs que est�o liberados e >bloqueando tudo o que n�o tiver referencia: > >00129 skipto 200 ip from 192.168.0.30 to any in recv rl0 >00130 skipto 200 ip from 192.168.0.31 to any in recv rl0 >00131 skipto 200 ip from 192.168.0.27 to any in recv rl0 >00150 deny ip from 192.168.0.0/24 to any in recv rl0 >00200 divert 8668 ip from any to any via rl1 >65535 allow ip from any to any > >Porem desta forma, se o cliente souber o IP do vizinho poder� coloca-lo em >seu computador e utiliza-lo enquanto o verdadeiro dono do IP n�o estiver com >o micro ligado. > >Mas eu gostaria de saber se n�o existe alguma outra forma de controlar ?? Ja >pensei em colocar autentica��o no SQUID, mas ai somente vai bloquear a WEB. >Lembro que quando conectava o IG precisava digitar nome e senha, para depois >come�ar a utilizar o servi�o TCP/IP (www, pop3, smtp, ftp). Quando n�o >digitava a senha correta o computador n�o navegava, n�o recebia nem enviava >e-mails etc. Ficava inoperante na Internet mesmo estando conectado. > >Existe alguma forma do cliente quando for utilizar os servi�os de Internet >Condominial, precisar se autenticar para depois come�ar a utilizar POP3, >SMTP, WWW, FTP etc. ??? >Como posso faze-lo ?? > >Valeu, > >Alfredo Tomio Junior > >_______________________________________________________________ >Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr >Historico: http://www4.fugspbr.org/lista/html/FUG-BR/ _______________________________________________________________ Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr Historico: http://www4.fugspbr.org/lista/html/FUG-BR/ _______________________________________________________________ Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
