Re: iptables y filtrado de muuuuchas MAC
Siento mucho si a alguno le puede parecer a destiempo hacer una puntualización de un tema tan viejo. Pero como entiendo que en algún momento alguien puede usar la lista como fuente de información, lo hago: La solución que me sugirió Arturo para vetar temporalmente direcciones MAC con ipset, no era posible en su momento porque no había forma de definir un conjunto con ipset cuyo criterio fuera únicamente la mac de origen. Sin embargo, este mismo septiembre la versión 6.22 de ipset añadió el tipo hash:mac, con lo que ya sí se puede poner en práctica la idea de: 1, Identificar los smartphones cuando piden ip al servidor DHCP. 2. Meter a los smartphones dentro de un rango determinado de IPs. 3. Apuntar dentro de un conjunto de ipset durante un determinado tiempo las MAC de los equipos que poseen una IP de ese rango. 4. Vetar el tráfico a las MAC de ese conjunto. No lo he probado porque obviamente esta versión de ipset no está disponible para la wheezy. Un saludo. -- Quiere, aborrece, trata bien, maltrata, y es la mujer, al fin, como sangría, que a veces da salud y a veces mata. --- Lope de Vega --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141025091818.ga6...@cubo.casa
Re: iptables y filtrado de muuuuchas MAC
El 15/05/2014 18:23, José Miguel (sio2) escribió: El Thu, 15 de May de 2014, a las 06:02:30PM +0200, Francesc Guitart dijo: ¿Para que usas ese certificado? ¿Para filtrar el tráfico HTTPS? Cuando lo tengas en modo __no__ transparente no te hará falta. Usa la directiva CONNECT de squid para evitar interceptar el tunnel SSL: Sí, de hecho instalé qlproxy[1] y me filtra los contenidos como si de tráfico no cifrado se tratase. El problema es que no encontré modo sencillo de habilitar un aviso automático al usuario de que el tráfico cifrado se iba a descifrar y volver a crifrar en el proxy. Y no me acaba de convencer la solución por eso precisamente. Creí que era inevitable, porque también iría cifrado el host, pero veo que no. Quizás opte por esto que me propones. Más o menos podríamos decir que con la directiva CONNECT no necesitas interceptar el túnel SSL porque antes impides que se establezca... Muchas gracias. [1]http://www.quintolabs.com/ -- Francesc Guitart -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5374f268.4050...@gmx.com
Re: iptables y filtrado de muuuuchas MAC
El Thu, 15 de May de 2014, a las 06:02:30PM +0200, Francesc Guitart dijo: > ¿Para que usas ese certificado? ¿Para filtrar el tráfico HTTPS? > > Cuando lo tengas en modo __no__ transparente no te hará falta. Usa la > directiva CONNECT de squid para evitar interceptar el tunnel SSL: Sí, de hecho instalé qlproxy[1] y me filtra los contenidos como si de tráfico no cifrado se tratase. El problema es que no encontré modo sencillo de habilitar un aviso automático al usuario de que el tráfico cifrado se iba a descifrar y volver a crifrar en el proxy. Y no me acaba de convencer la solución por eso precisamente. Creí que era inevitable, porque también iría cifrado el host, pero veo que no. Quizás opte por esto que me propones. Muchas gracias. [1]http://www.quintolabs.com/ -- ¿No ha de haber un espíritu valiente? ¿Siempre se ha de sentir lo que se dice? ¿Nunca se ha de decir lo que se siente? --- Francisco de Quevedo --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140515162346.ga4...@cubo.casa
Re: iptables y filtrado de muuuuchas MAC
El 15/05/2014 15:33, José Miguel (sio2) escribió: De todos modos, hay una cosa de la que no me escapo: tengo que dejar el certificado del proxy en los clientes. De nuevo, muchas gracias. ¿Para que usas ese certificado? ¿Para filtrar el tráfico HTTPS? Cuando lo tengas en modo __no__ transparente no te hará falta. Usa la directiva CONNECT de squid para evitar interceptar el tunnel SSL: acl CONNECT method CONNECT acl SSL_ports port 443 acl SSL_ports port otros_puertos_SSL_deseados # ejemplo: 8443 acl ssl_forbiden facebook.com twitter.com otros_ejemplos.com ... http_access deny CONNECT ssl_forbiden http_access deny CONNECT !SSL_ports Atención al orden de los http_access, es importante. Más info: http://wiki.squid-cache.org/Features/HTTPS -- Francesc Guitart -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5374e516.1070...@gmx.com
Re: iptables y filtrado de muuuuchas MAC
El Thu, 15 de May de 2014, a las 01:14:46PM +0200, Francesc Guitart dijo: > Efectivamente, y sobretodo es que puedes hacer la migración de proxy > transparente a proxy sin cortes ni reconfiguraciones importantes. Puedes > tener los dos puertos abiertos en Squid hasta que hayas terminado con la > migración. Me lo acabo de mirar esta mañana y funciona perfectamente, aunque he visto que los navegadores y el sistema (al menos un windows xp que fue el que probé como cliente) buscan http://wpad/wpad.dat. Me dio eso problemas, porque había leído en la wikipedia que lo que hacía era buscar recursivamente del siguiente modo: http://wpad.misubdominio.midominio.com/wpad.dat http://wpad.midominio.com/wpad.dat De todos modos, hay una cosa de la que no me escapo: tengo que dejar el certificado del proxy en los clientes. De nuevo, muchas gracias. -- Mira que la mejor parte de España, pudiendo Casta, se llamó Castilla. --- Tomé de Burguillos --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140515133308.gb21...@cubo.casa
Re: iptables y filtrado de muuuuchas MAC
El 14/05/2014 15:26, José Miguel (sio2) escribió: El Wed, 14 de May de 2014, a las 09:23:27AM +0200, Francesc Guitart dijo: [Proxu no transparente, etc.] No te hace falta. Abre otro puerto en Squid en modo no transparente y configura WPAD. ¡Vaya! Ni idea de esto. Muchas gracias. Me estudiaré el asunto: clonar voy a clonar igualmente, pero la solución es más elegante y permite no tener que estar avisando de las configuraciones del proxy, para el que se traiga un ordenador personal. Efectivamente, y sobretodo es que puedes hacer la migración de proxy transparente a proxy sin cortes ni reconfiguraciones importantes. Puedes tener los dos puertos abiertos en Squid hasta que hayas terminado con la migración. Eso sí, todos los navegadores cliente deben tener marcada la opción de proxy automatica en los ajustes. Infinitas gracias. De nada. Respecto a la duda que planteas no sabría decirte, pero para cargar un montón de reglas a iptables cada 2 por 3 sin penalizar el rendimiento es muy recomendable usar ipset de iptables: http://ipset.netfilter.org/ Y sobretodo: http://www.linuxjournal.com/content/advanced-firewall-configurations-ipset En otra respuesta ya me habían advertido de ello y ya me había puesto a leer ese enlace que indicas que parece muy suculento. A ver qué saco. Gracias de nuevo. -- Francesc Guitart -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5374a1a6.5030...@gmx.com
Re: iptables y filtrado de muuuuchas MAC
El Thu, 15 de May de 2014, a las 09:36:08AM +0200, Juan Serra Costa dijo: > Yo en mi puerta de enlace tengo entradas de este tipo en iptables: > -A FORWARD -d 192.168.1.9/32 -i eth0 -o eth1 -m mac --mac-source > cc:cc:cc:cc:cc:cc -j ACCEPT > Gracias por contestar. Eso lo tengo claro: la pregunta era cómo hacerlo del modo más eficiente posible, porque pasearse por la lista con todas las mac cada vez que un paquete pase por el cortafuegos, no lo parece mucho. Saludos. -- Hay dos sistemas de conseguir la felicidad: uno, hacerse el idiota; otro, serlo. --- Enrique Jardiel Poncela. -- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140515084642.ga12...@cubo.casa
Re: iptables y filtrado de muuuuchas MAC
El 14 de mayo de 2014, 16:14, Camaleón escribió: > El Wed, 14 May 2014 15:29:18 +0200, José Miguel (sio2) escribió: > > > El Wed, 14 de May de 2014, a las 01:07:45PM +, Camaleón dijo: > > > >> El Tue, 13 May 2014 19:46:21 +0200, José Miguel (sio2) escribió: > >> Mientras, mira a ver si puedes hacer algo con Squid que ya lo tienes > >> configurado y en marcha y que no requiera autentificación de usuarios > >> para que no tenags que hacer cambios bruscos, aunque sin uso de > >> credenciales siempre se te puede "colar" algo. > > > > No si en realidad, ya tengo controlado los accesos. Lo dije en el correo > > inicial: identifico las máquinas, las meto en un subrango y ese rango lo > > filtro. Lo que quiero, además, es vetarles el acceso por MAC para que no > > prueben a ponerse una ip fija distinta a ver si cuela. > > Pero ese sistema no es un control de acceso de usuarios sino un > procedimiento para identificar "equipos" al que luego agrupas y les das > un tratamiento distinto, el problema es que todo lo que sea hardware se > puede falsear, direcciones IP/MAC incluídas :-) > > La ventaja de controlar usuarios y no dispositivos es que es un sistema > más flexible que permite al usuario A (sin restricciones) poder usar lo > que prefiera (ordenador, móvil, tableta...) y al usuario B (con > restricciones) impedir la navegación desde cualquier dispositivo. > > Saludos, > > -- > Camaleón > > > -- > Yo en mi puerta de enlace tengo entradas de este tipo en iptables: -A FORWARD -d 192.168.1.9/32 -i eth0 -o eth1 -m mac --mac-source cc:cc:cc:cc:cc:cc -j ACCEPT Así filtro por ip y por mac. No sé si es lo que buscas... Un saludo.
Re: [OT] Neutralidad, etc [Re: iptables y filtrado de muuuuchas MAC]
2014-05-14 13:48 GMT+00:00 José Miguel (sio2) : > El Wed, 14 de May de 2014, a las 05:58:49AM +, C. L. Martinez dijo: > >> Bien: tienes un serio problema. El tema MACs es sencillamente, >> "infumable, insostenible, inviable e inadministrable". Yo no perdería >> el tiempo con eso. En principio tu solución factible es la >> autenticación sí o sí. Pero si esa autenticación es conocida por los >> señores/as que llevan los smartphones de poco te va a valer. > > Ya sé que con MAC es intratable, pero la solución que yo planteo no es > con MAC: yo identifico los dispositivos no por la MAC, sino por las > opciones que envían al servidor DHCP cuando piden la configuracióni[1]. > Tras identificarlos, los meto en una subred y filtro esa subred. Por las > pruebas que he hecho, funciona bastante bien. > > Por supuesto, esto tiene agujeros: a alguno se le puede ocurrir, viendo > que acceden portátiles, ver que ocurre si cambia esa ip dinámica por una > parecida a la del portátil. Entonces descubrirá que sí puede salir. > > Así que para evitar esto, quería vetarle el acceso por MAC (que obtuve > cuando pilló la configuración del DHCP) durante un tiempo (pongamos que > una hora). Si hace la prueba anterior, no podrá salir, porque en esta > ocasión será el filtrado por MAC el que se lo impida. > > Como ves, el filtrado no se realiza por MAC, este es una segunda > derivada y, además, la lista de MAC nunca será inmensamente grande > porque las veto sólo durante una hora. A la hora se borra esa regla y si > en algún momento o algún otro día se intenta volver a conectar, volverá > a ser vetado. > > Por supuesto, sigue habiendo posibilidad de burlar la medida: se > autentica en la wifi, sin pedir dirección ip y se la pone a mano. Pero > esto es bastante más improbable que lo de "Leñe! No entro. A ver qué > pasa si le pongo la misma ip que tenía antes este portatil". > Uhmm .. A ver, tú a efectos prácticos estás filtrando por MAC. Y eso sigue siendo inadministrable. Y el problema no es la RAM que puedan ocupar las entradas, si no el gestionar esas entradas. Si por ende, descubren que cambiando la IP como dices ya lo tienen arreglado, sigo pensando que pierdes el tiempo. Tendrías una opción que es "Authenticated MAC Address": http://www.arubanetworks.com/techdocs/ArubaOS_60/UserGuide/MAC_Authentication.php http://www.juniper.net/techpubs/en_US/uac5.0/topics/topic-map/security-access-control-service-mac-address-authentication-server-using.html Sé que hace algún timepo hubo un proyecto opensource en Italia para tratar este tema pero creo que se abandonó. Siguo pensando que tu mejor opción es WiFi+PKI ...IMO. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caejqa5+-qw5ygsfmszx+pg3teuaqes7gte0o8t6f+bot9ol...@mail.gmail.com
Re: iptables y filtrado de muuuuchas MAC
El Wed, 14 May 2014 15:29:18 +0200, José Miguel (sio2) escribió: > El Wed, 14 de May de 2014, a las 01:07:45PM +, Camaleón dijo: > >> El Tue, 13 May 2014 19:46:21 +0200, José Miguel (sio2) escribió: >> Mientras, mira a ver si puedes hacer algo con Squid que ya lo tienes >> configurado y en marcha y que no requiera autentificación de usuarios >> para que no tenags que hacer cambios bruscos, aunque sin uso de >> credenciales siempre se te puede "colar" algo. > > No si en realidad, ya tengo controlado los accesos. Lo dije en el correo > inicial: identifico las máquinas, las meto en un subrango y ese rango lo > filtro. Lo que quiero, además, es vetarles el acceso por MAC para que no > prueben a ponerse una ip fija distinta a ver si cuela. Pero ese sistema no es un control de acceso de usuarios sino un procedimiento para identificar "equipos" al que luego agrupas y les das un tratamiento distinto, el problema es que todo lo que sea hardware se puede falsear, direcciones IP/MAC incluídas :-) La ventaja de controlar usuarios y no dispositivos es que es un sistema más flexible que permite al usuario A (sin restricciones) poder usar lo que prefiera (ordenador, móvil, tableta...) y al usuario B (con restricciones) impedir la navegación desde cualquier dispositivo. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.14.14.14...@gmail.com
Re: iptables y filtrado de muuuuchas MAC
El Wed, 14 de May de 2014, a las 01:07:45PM +, Camaleón dijo: > El Tue, 13 May 2014 19:46:21 +0200, José Miguel (sio2) escribió: > Mientras, mira a ver si puedes hacer algo con Squid que ya lo tienes > configurado y en marcha y que no requiera autentificación de usuarios > para que no tenags que hacer cambios bruscos, aunque sin uso de > credenciales siempre se te puede "colar" algo. No si en realidad, ya tengo controlado los accesos. Lo dije en el correo inicial: identifico las máquinas, las meto en un subrango y ese rango lo filtro. Lo que quiero, además, es vetarles el acceso por MAC para que no prueben a ponerse una ip fija distinta a ver si cuela. -- e non l'arbitrio de femina lieve, che sempre inchina a quel che men far deve. --- Ludovico Ariosto --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140514132918.gc9...@cubo.casa
Re: iptables y filtrado de muuuuchas MAC
El Tue, 13 May 2014 19:46:21 +0200, José Miguel (sio2) escribió: > El Tue, 13 de May de 2014, a las 05:22:01PM +, Camaleón dijo: > >> En ese caso podrías una configuración de proxy transparente aunque para >> lo que buscas no sé si te serviría... pero sí ya tienes squid y no usas >> autentificación entiendo que es esta debe ser la configuración actual >> ¿no? > > Sí, y no. Ahora mismo está funcionando como proxy transparente, pero ya > lo he configurado para filtrar tráfico https y eso no se puede hacer de > modo transparente. El problema es que el modo no transparente exige > configurar, así que, cuando se acerque final de curso (esto es un > instituto) y haga la imagen para el año que viene, incluiré la > configuración, clonaré, y lo habilitaré en modo no transparente. Entendido. >> Esto sólo lo podrás evitar creando una jaula (entorno cautivo) y >> obligando a los equipos de la red local a pasar por tu pasarela/proxy >> (o como quieras llamarlo) para poder salir a Internet. > > Un pfSense o algo por el estilo, entiendo. No lo he implementado nunca, > pero desde mis pocos conocimientos, entiendo que eso implica > autenticación. No quiero la red así, sino una red más o menos abierta > (la contraseña es pública), pero sin acceso de los smartphones que son > legión y se me acaban comiendo las ips disponibles y el ancho de banda. (...) Una solución de control de accesos y contenido, sí eso sería lo ideal pero igualmente vas a tener que determinar quién pasa y quién no y el meollo del asunto lo tienes ahí (es decir, determinar "a quién" o "qué" filtras y cómo lo detectas con el menor número de falsos positivos posible). Mientras, mira a ver si puedes hacer algo con Squid que ya lo tienes configurado y en marcha y que no requiera autentificación de usuarios para que no tenags que hacer cambios bruscos, aunque sin uso de credenciales siempre se te puede "colar" algo. Por ejemplo, podrías decirle a Squid que filtre por el navegador web ya que los teléfonos móviles y tabletas suelen tener versiones diferentes de las de escritorio y que a este grupo les restringa el acceso a Internet. Hasta que te dure el invento, claro, pero al menos es sencillo de implementar ;-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.14.13.07...@gmail.com
Re: [OT] Neutralidad, etc [Re: iptables y filtrado de muuuuchas MAC]
On Tue, May 13, 2014 at 08:20:40PM +0200, José Miguel (sio2) wrote: > Imagina el caso de que mi duda hubiera sido: ¿Puede alguien ayudarme a > configurar un squid para que mis alumnos no vean porno durante las > clases? ¿Los profesores sí pueden ver porno durante las clases? :-) Si divides a tus usuarios entre smartphones/alumnos por un lado y portátiles/profesores por otro y el criterio que sigues para bloquear es "demasiado genérico", un buen día aparecerá un profesor con una tablet, y se encontrará bloqueado "por ser Android". Seguramente tendrás buenas razones para no permitirlo todo, mi sugerencia es que elijas bien el criterio de bloqueo, lo de smartphones por un lado y portátiles por otro me parece un poco simplista. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140514084347.ga32...@cantor.unex.es
Re: iptables y filtrado de muuuuchas MAC
El 13/05/2014 19:46, José Miguel (sio2) escribió:
El Tue, 13 de May de 2014, a las 05:22:01PM +, Camaleón dijo:
En ese caso podrías una configuración de proxy transparente aunque para
lo que buscas no sé si te serviría... pero sí ya tienes squid y no usas
autentificación entiendo que es esta debe ser la configuración actual ¿no?
Sí, y no. Ahora mismo está funcionando como proxy transparente, pero ya
lo he configurado para filtrar tráfico https y eso no se puede hacer de
modo transparente. El problema es que el modo no transparente exige
configurar, así que, cuando se acerque final de curso (esto es un
instituto) y haga la imagen para el año que viene, incluiré la
configuración, clonaré, y lo habilitaré en modo no transparente.
No te hace falta. Abre otro puerto en Squid en modo no transparente y
configura WPAD. Solo necesitas añadir un registro DNS
(wpad.tudominio.com) y poner un ficherito wpad.dat en la raiz del
servidor web http://wpad.tudominio.com.
El fichero wpad.pad se parece a esto. Como ves va a determinar cuando
los clientes de tu LAN deben usar tu proxy:
function FindProxyForURL(url, host){
if(isPlainHostName(host)) return DIRECT;
if(isInNet(dnsResolver(host), "192.168.1.0", "255.255.255.0")) return
DIRECT;
if(shExpMatch(url, "*192.168.1.*")) return "DIRECT";
if(isInNet(myIpAddress(), "10.1.1.0", "255.255.255.0")) return DIRECT;
if(
url.substring(0, 5) == "http:" ||
url.substring(0, 6) == "https:" ||
url.substring(0, 5) == "ftp:"
)
return "PROXY 192.168.1.254:3228";
return "DIRECT";
}
Esto sólo lo podrás evitar creando una jaula (entorno cautivo) y
obligando a los equipos de la red local a pasar por tu pasarela/proxy (o
como quieras llamarlo) para poder salir a Internet.
Un pfSense o algo por el estilo, entiendo. No lo he implementado nunca,
pero desde mis pocos conocimientos, entiendo que eso implica
autenticación. No quiero la red así, sino una red más o menos abierta
(la contraseña es pública), pero sin acceso de los smartphones que son
legión y se me acaban comiendo las ips disponibles y el ancho de banda.
¡Ah! Gracias por tus respuestas.
De nada, a ver si a alguien se le ocurre alguna otra idea :-)
Esperemos. Si no hay mejor solución, a ver si algún gurú en iptables me
dice si se pueden optimizar más las reglas.
Respecto a la duda que planteas no sabría decirte, pero para cargar un
montón de reglas a iptables cada 2 por 3 sin penalizar el rendimiento es
muy recomendable usar ipset de iptables:
http://ipset.netfilter.org/
Y sobretodo:
http://www.linuxjournal.com/content/advanced-firewall-configurations-ipset
Saludos.
--
Francesc Guitart
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/537319ef.8090...@gmx.com
Re: iptables y filtrado de muuuuchas MAC
El Tue, 13 de May de 2014, a las 10:07:19PM +0200, Arturo Borrero Gonzalez dijo: > Hola, Hola. Había mandado mi comentario y agradecimiento al correo personal y no la lista, así que reproduzco ambos más o menos aquí también. > una solución es ipset(8). Es una herramienta de Netfilter. > Puedes crear un conjunto de datos y hacer 'matching' contra el: No conocía en absoluto esto: me puede ayudar muchísimo en mi aproximación. Acabo de encontrar un artículo de linuxjournal sobre él: http://www.linuxjournal.com/content/advanced-firewall-configurations-ipset Voy a echarlo un vistazo a ver las capacidades que tiene. Muchas gracias. -- Un bel morir tutta una vita honora. --- Francisco Petrarca --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140514060003.gb3...@cubo.casa
Re: [OT] Neutralidad, etc [Re: iptables y filtrado de muuuuchas MAC]
2014-05-13 18:20 GMT+00:00 José Miguel (sio2) : > El Tue, 13 de May de 2014, a las 07:37:26PM +0200, Santiago Vila dijo: > > Hombre, no creo que la lista esté para dar explicaciones filosóficas de > por qué se hace una cosa y por qué otra no. Pero en fin: allá va. > > Es la red de un instituto y, por tanto, no es una red lúdica. Hay > alumnos que llevan su portátil, porque trabajan con él y quiero darles > servicio. Podría perfectamente deshabilitar la red wifi y santas > pascuas, pero entiendo que les puede resultar más cómodo traerse el > ordenador de su casa que usar un fijo que le facilitemos nosotros. > Idéntico razonamiento se puede aplicar a un profesor. > > En cambio, la conexión de los smartphones no suele tener ese carácter > académico y sobre todo, son muchísimos, porque absolutamente todos los > chavales tienen uno: la red inalámbrica es insostenible con ellos, así > que los tengo que vetar. > >> A ver si me entero: Si hubiera pocos smartphones y muchos portátiles, >> ¿bloquearías a los portátiles? > > Si hubiera muchos portátiles, entonces eso significaría que habría pocos > ordenadores fijos conectados, con lo que el aumento en el tráfico de > unos se vería compensado por la disminución del tráfico de otros. Muchos > portátiles por tanto, no sería problema. Además de que jamás se daría la > circunstancia de que absolutamente todos tuvieran un portátil, así que > ese "muchos" sería en términos absolutos, siempre pocos. > > Si hubiera pocos smartphones, los smartphones no serían ningún problema, > así que ¿para qué filtrarlos? > >> Entonces: ¿Qué hay de la neutralidad de la red? > > Imagina el caso de que mi duda hubiera sido: ¿Puede alguien ayudarme a > configurar un squid para que mis alumnos no vean porno durante las > clases? ¿Crees que ante esta petición me habrías hecho la misma > pregunta? Porque filtrar sitios web, sean o no porno, también atenta > contra la neutralidad de la red. > > En esta red no hay neutralidad: efectivamente, es "mía" y hago con ella > lo que me parece maś beneficioso. > Bueno dejando de lado el tema filosófico de la cuestión, y que coincido contigo: si la "red es tuya" haces con ella lo que te dá la gana. Bien: tienes un serio problema. El tema MACs es sencillamente, "infumable, insostenible, inviable e inadministrable". Yo no perdería el tiempo con eso. En principio tu solución factible es la autenticación sí o sí. Pero si esa autenticación es conocida por los señores/as que llevan los smartphones de poco te va a valer. Por tanto, solo te veo dos opciones (luego, te muestro otra más compleja): a) Despliegue de dos redes wifi distintas + firewalling a nivel de fingerprint (es decir discriminas por SO) b) Utilizar solo una red wifi + firewalling a nivel de fingerprint (es decir discriminas por SO) ¿Como se hace lo del fingerprint?, Bien de entrada, desconozco si con iptables se puede hacer. Esta funcionalidad te la ofrecen los SO BSD basados en firewalls pf (ojo, que aquí creo que pfsense no lo hace. Tendrás que mirar su documentación). Se trataría de construir reglas del tipo: "si el IP x.x.x.x me devuelve como SO windows, dejo pasar el tráfico y si no es windows, todo denegado". Mírate esto: http://www.openbsd.org/faq/pf/filter.html#osfp. Obviamente, este sistema es falible. Si hay un estudiante mediante espabilado y te pilla el truco, adiós invento. (También es verdad que deberá saber como encontrar el problema y como solventarlo. Pero, por experiencia, te aviso que no hay peor "hacker" que un tio motivado para hace lo que quiere hacer). La solución "de verdad" es el despliegue de hotspots controlando las wifis, con captive portals y autenticación via PKI (o sea certificados) + PIN (si quieres ser más paranoico). Y en principio poco más se me ocurre. Como ves, eso de tener una wifi "open" tiene sus cosas. Pero para terminar, digo, ¿y porqué no aislas por completo la wifi con su ADSL y que no enrute en ningún caso hacia tus redes productivas? En caso de que precisen acceder a las redes del centro pues que lo hagan como lo harías tu desde tu casa: por Internet y con una conexión VPN a ser posible. ¿Eso no te és factible hacerlo? Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caejqa5+96bdj-hgf3fxkaxqje9v1x_b06wuczbv5gikyzha...@mail.gmail.com
Re: iptables y filtrado de muuuuchas MAC
Hola, una solución es ipset(8). Es una herramienta de Netfilter. Puedes crear un conjunto de datos y hacer 'matching' contra el: % ipset create MIS_MACS ... # crea el conjunto % ipset add MIS_MACS mac # añade mac a MIS_MACS % iptables -A ... -m set --match-set MIS_MACS src ... -j ACCEPT # una regla que se valida contra el contenido del grupo Incluso, puedes actualizar el contenido del set desde una regla de iptables: % iptables -A ... -j SET --add-set MIS_MACS # añade los datos del paquete al conjunto Más aún, puedes darle un timeout a los elementos del set, y que salgan solos. En fin, investiga tu. Saludos. PD: No estoy subscrito a debian-user-spanish@lists.debian.org -- Arturo Borrero González -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caoksjbhgxyxncycqc3sk6-n2qhbk4pcvxaq1x8pkrdhaqu4...@mail.gmail.com
[OT] Neutralidad, etc [Re: iptables y filtrado de muuuuchas MAC]
El Tue, 13 de May de 2014, a las 07:37:26PM +0200, Santiago Vila dijo: Hombre, no creo que la lista esté para dar explicaciones filosóficas de por qué se hace una cosa y por qué otra no. Pero en fin: allá va. Es la red de un instituto y, por tanto, no es una red lúdica. Hay alumnos que llevan su portátil, porque trabajan con él y quiero darles servicio. Podría perfectamente deshabilitar la red wifi y santas pascuas, pero entiendo que les puede resultar más cómodo traerse el ordenador de su casa que usar un fijo que le facilitemos nosotros. Idéntico razonamiento se puede aplicar a un profesor. En cambio, la conexión de los smartphones no suele tener ese carácter académico y sobre todo, son muchísimos, porque absolutamente todos los chavales tienen uno: la red inalámbrica es insostenible con ellos, así que los tengo que vetar. > A ver si me entero: Si hubiera pocos smartphones y muchos portátiles, > ¿bloquearías a los portátiles? Si hubiera muchos portátiles, entonces eso significaría que habría pocos ordenadores fijos conectados, con lo que el aumento en el tráfico de unos se vería compensado por la disminución del tráfico de otros. Muchos portátiles por tanto, no sería problema. Además de que jamás se daría la circunstancia de que absolutamente todos tuvieran un portátil, así que ese "muchos" sería en términos absolutos, siempre pocos. Si hubiera pocos smartphones, los smartphones no serían ningún problema, así que ¿para qué filtrarlos? > Entonces: ¿Qué hay de la neutralidad de la red? Imagina el caso de que mi duda hubiera sido: ¿Puede alguien ayudarme a configurar un squid para que mis alumnos no vean porno durante las clases? ¿Crees que ante esta petición me habrías hecho la misma pregunta? Porque filtrar sitios web, sean o no porno, también atenta contra la neutralidad de la red. En esta red no hay neutralidad: efectivamente, es "mía" y hago con ella lo que me parece maś beneficioso. -- Sabed que menda es don Mendo. --- Muñoz Seca --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140513182040.ga19...@cubo.casa
Re: iptables y filtrado de muuuuchas MAC
On Tue, May 13, 2014 at 06:55:15PM +0200, José Miguel (sio2) wrote: > + No deseo autentificación de usuarios: en principio se puede conectar > cualquiera sin permisos especiales, porque no hay ningún problema en > que se conecte algún que otro portátil: el problema son los > smartphones, porque todo el mundo tiene uno. A ver si me entero: Si hubiera pocos smartphones y muchos portátiles, ¿bloquearías a los portátiles? Es que no entiendo bien cuál es el problema. ¿Que hay mucha gente conectándose? ¿Por qué eso es un problema? ¿No hay ancho de banda para todo el mundo? Entonces en el pecado ya estaría la penitencia, pues el ancho de banda se reparte entre quienes lo estén usando. ¿Quieres establecer algún tipo de derecho a usar la red basándose en el tipo de dispositivo con el que uno se conecta? Entonces: ¿Qué hay de la neutralidad de la red? Por supuesto que la respuesta puede ser perfectamente "la red es mía y hago con ella lo que quiero", pero precisamente por eso pregunto: ¿por qué quieres eso? -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140513173726.ga22...@cantor.unex.es
Re: iptables y filtrado de muuuuchas MAC
El Tue, 13 de May de 2014, a las 05:22:01PM +, Camaleón dijo: > En ese caso podrías una configuración de proxy transparente aunque para > lo que buscas no sé si te serviría... pero sí ya tienes squid y no usas > autentificación entiendo que es esta debe ser la configuración actual ¿no? Sí, y no. Ahora mismo está funcionando como proxy transparente, pero ya lo he configurado para filtrar tráfico https y eso no se puede hacer de modo transparente. El problema es que el modo no transparente exige configurar, así que, cuando se acerque final de curso (esto es un instituto) y haga la imagen para el año que viene, incluiré la configuración, clonaré, y lo habilitaré en modo no transparente. > Esto sólo lo podrás evitar creando una jaula (entorno cautivo) y > obligando a los equipos de la red local a pasar por tu pasarela/proxy (o > como quieras llamarlo) para poder salir a Internet. Un pfSense o algo por el estilo, entiendo. No lo he implementado nunca, pero desde mis pocos conocimientos, entiendo que eso implica autenticación. No quiero la red así, sino una red más o menos abierta (la contraseña es pública), pero sin acceso de los smartphones que son legión y se me acaban comiendo las ips disponibles y el ancho de banda. >> ¡Ah! Gracias por tus respuestas. > De nada, a ver si a alguien se le ocurre alguna otra idea :-) Esperemos. Si no hay mejor solución, a ver si algún gurú en iptables me dice si se pueden optimizar más las reglas. -- Un bel morir tutta una vita honora. --- Francisco Petrarca --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140513174621.ga17...@cubo.casa
Re: iptables y filtrado de muuuuchas MAC
El Tue, 13 May 2014 18:55:15 +0200, José Miguel (sio2) escribió: > El Tue, 13 de May de 2014, a las 04:19:01PM +, Camaleón dijo: > >> Pues en teoría te haría falta: >> >> 1/ Tener las redes separadas físicamente para forzar el paso por el >> proxy de todos los clientes de la red. > > La red wifi está en una VLAN separada, sí. > >> 2/ En cuanto al proxy, cualquiera con autentificación de usuarios te >> sirve. Una vez que los tengas catalogados (por usuarios, por MAC, IP, >> etc...) podrás decir qué grupos pueden navegar y cuáles no. > > He usado (y uso) squid (¿te refieres a algo como squid?), pero le veo a > eso varios inconvenientes: Sí, claro, squid te sirve. > + No deseo autentificación de usuarios: en principio se puede conectar > cualquiera sin permisos especiales, porque no hay ningún problema en > que se conecte algún que otro portátil: el problema son los > smartphones, porque todo el mundo tiene uno. En ese caso podrías una configuración de proxy transparente aunque para lo que buscas no sé si te serviría... pero sí ya tienes squid y no usas autentificación entiendo que es esta debe ser la configuración actual ¿no? > + No me vale un filtrado exclusivo por MAC, porque los smartphones son > cada uno de su padre y de su madre. Por ese motivo, los identifico con > los parámetros que envían cuando pretenden obtener una ip y, ya > identificados, apunto su MAC.[1] Como lo ponías en el asunto... vale, entonces eso quiere decir que desconoces los dispositivos que se van a conectar a tu red. > + ¿Qué ventaja de procesamiento da el que el filtrado de MAC lo realice, > pongamos, squid a que lo realice directamente iptables? ¿En cuanto a rendimiento, dices? Ni idea, no tengo esos datos :-? pero no me gusta mucho estar tocando iptables, prefiero usar proxy o alguna otra solución dedicada para controlar el acceso a internet de los equipos. > [1] Quizás me como mucho la cabeza, porque aun poniendo en práctica lo > que >quiero hay otra forma de seguir burlándome: conectarse sin pedir ip, >y luego ponerse una ip fija, así jamás se apunta la MAC, porque jamás >interviene el dhcp. Pero esto ya me parece demasiado rebuscamiento. Esto sólo lo podrás evitar creando una jaula (entorno cautivo) y obligando a los equipos de la red local a pasar por tu pasarela/proxy (o como quieras llamarlo) para poder salir a Internet. > ¡Ah! Gracias por tus respuestas. De nada, a ver si a alguien se le ocurre alguna otra idea :-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.13.17.22...@gmail.com
Re: iptables y filtrado de muuuuchas MAC
El Tue, 13 de May de 2014, a las 04:19:01PM +, Camaleón dijo: > Pues en teoría te haría falta: > > 1/ Tener las redes separadas físicamente para forzar el paso por el proxy > de todos los clientes de la red. La red wifi está en una VLAN separada, sí. > 2/ En cuanto al proxy, cualquiera con autentificación de usuarios te > sirve. Una vez que los tengas catalogados (por usuarios, por MAC, IP, > etc...) podrás decir qué grupos pueden navegar y cuáles no. He usado (y uso) squid (¿te refieres a algo como squid?), pero le veo a eso varios inconvenientes: + No deseo autentificación de usuarios: en principio se puede conectar cualquiera sin permisos especiales, porque no hay ningún problema en que se conecte algún que otro portátil: el problema son los smartphones, porque todo el mundo tiene uno. + No me vale un filtrado exclusivo por MAC, porque los smartphones son cada uno de su padre y de su madre. Por ese motivo, los identifico con los parámetros que envían cuando pretenden obtener una ip y, ya identificados, apunto su MAC.[1] + ¿Qué ventaja de procesamiento da el que el filtrado de MAC lo realice, pongamos, squid a que lo realice directamente iptables? [1] Quizás me como mucho la cabeza, porque aun poniendo en práctica lo que quiero hay otra forma de seguir burlándome: conectarse sin pedir ip, y luego ponerse una ip fija, así jamás se apunta la MAC, porque jamás interviene el dhcp. Pero esto ya me parece demasiado rebuscamiento. ¡Ah! Gracias por tus respuestas. -- El hombre que se ríe de todo es que todo lo desprecia. La mujer que se ríe de todo es que sabe que tiene una dentadura bonita. --- Enrique Jardiel Poncela --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140513165514.ga11...@cubo.casa
Re: iptables y filtrado de muuuuchas MAC
El Tue, 13 May 2014 18:02:38 +0200, José Miguel (sio2) escribió: > El Tue, 13 de May de 2014, a las 03:49:53PM +, Camaleón dijo: > >>> Mi problema son los smartphones: hay demasiados y no quiero dejar que >>> se conecten a la red wifi o, mejor dicho, que se conecten a internet a >>> través de la red wifi. > >> Preguntonta: ¿No hay un proxy de por medio que actué como agente de >> tráfico y que te evite la manipulación del enrutado (iptables)? >> > En principio tengo libertad para implementar otra buena solución, > pero no tengo ni idea de cómo atajar el problema: se me ocurrió el dhcp > para identificar los clientes e iptables para filtrar. > > ¿Qué proxy puede hacerme un trabajo equivalente? Pues en teoría te haría falta: 1/ Tener las redes separadas físicamente para forzar el paso por el proxy de todos los clientes de la red. 2/ En cuanto al proxy, cualquiera con autentificación de usuarios te sirve. Una vez que los tengas catalogados (por usuarios, por MAC, IP, etc...) podrás decir qué grupos pueden navegar y cuáles no. La idea del proxy es crear un entorno cautivo de paso obligatorio para todos los usuarios de la red y una vez capturados poder manipularlos/ redirigirlos al gusto. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.13.16.19...@gmail.com
Re: iptables y filtrado de muuuuchas MAC
El Tue, 13 de May de 2014, a las 03:49:53PM +, Camaleón dijo: >> Mi problema son los smartphones: hay demasiados y no quiero dejar que >> se conecten a la red wifi o, mejor dicho, que se conecten a internet >> a través de la red wifi. > Preguntonta: ¿No hay un proxy de por medio que actué como agente de > tráfico y que te evite la manipulación del enrutado (iptables)? > En principio tengo libertad para implementar otra buena solución, pero no tengo ni idea de cómo atajar el problema: se me ocurrió el dhcp para identificar los clientes e iptables para filtrar. ¿Qué proxy puede hacerme un trabajo equivalente? -- Y mis desdichas son como cerezas, que voy por una y, de una en otra asidas, vuelvo con todo un plato de tristezas. --- Tomé de Burguillos --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140513160238.ga8...@cubo.casa
Re: iptables y filtrado de muuuuchas MAC
El Tue, 13 May 2014 17:31:52 +0200, José Miguel (sio2) escribió: (...) > A lo que vamos. Tengo un problema que sé que creo resolver, pero no sé > si habrá otra mejor solución o si simplemente estoy reinventando la > rueda (quizás haya software que lo haga ya, pero no lo he encontrado). > > Mi problema son los smartphones: hay demasiados y no quiero dejar que se > conecten a la red wifi o, mejor dicho, que se conecten a internet a > través de la red wifi. (...) Preguntonta: ¿No hay un proxy de por medio que actué como agente de tráfico y que te evite la manipulación del enrutado (iptables)? Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.05.13.15.49...@gmail.com
iptables y filtrado de muuuuchas MAC
Antes de nada, un saludito a la lista: estuve apuntado hace ya un puñado de años... y ahora procuro volver. A lo que vamos. Tengo un problema que sé que creo resolver, pero no sé si habrá otra mejor solución o si simplemente estoy reinventando la rueda (quizás haya software que lo haga ya, pero no lo he encontrado). Mi problema son los smartphones: hay demasiados y no quiero dejar que se conecten a la red wifi o, mejor dicho, que se conecten a internet a través de la red wifi. He estado indagando sobre esto y he logrado identificarlos más o menos fielmente con el servidor dhcp siguiendo ciertos criterios que ahora no vienen a cuento. Muy bien, ya los tengo identificados y se me ocurre, bien darles un subrango de direcciones ip que luego filtro con iptables, bien denegarles directamente la ip. Hasta aquí todo bien. El problema es que este es un criterio demasiado endeble, porque siempre queda la posibilidad de que un avispado se de cuenta de que poniendo él una ip fija, consigue salir a internet; y luego se propague la voz. Para atajarlo se me ha ocurrido lo siguiente: 1. Al identificarlo con el servidor dhcp como un smartphone, además de darle ip en el subrango filtrado, apunto su dirección MAC en el fichero de log (pongamos que es /var/log/dhcpd.log). 2. Me creo un demonio que cada medio minuto, por ejemplo, recopile esas MAC y cree reglas de filtrado de iptables. Para no acumular y acomular direcciones MAC, el veto dura cierto tiempo, después del cual elimino la regla. 3. Esto que pretendo hacer es algo parecido a lo que hace denyhosts o, más aún, fail2ban. No he usado este segundo, pero me imagino que ni tiene esto que quiero ni habrá posibilidad de escribirle "un módulo", porque supongo que su filtrado se basa en ip de origen y el mío tiene que ser mac de origen. Mi duda viene de cuál es la mejor forma de crear las reglas iptables para que las comprobaciones de las reglas de filtrado de MAC sean las mínimas, ya que quizás puede que se junten muchas MAC vetadas y eso imagino que relentizará el flujo de paquetes. A mí se me ha ocurrido lo siguiente (supongamos que las comunicaciones con los equipos de la red wifi se reciben por la interfaz eth1): iptables -t nat -N SMARTPHONES iptables -t nat -A PREROUTING -i eth1 -p tcp -j SMARTPHONES iptables -I FORWARD -m connmark --mark 0xfe -j DROP iptables -I INPUT -m connmark --mark 0xfe -j DROP # Todas estas reglas serían las que tendría # dinámicamente que ir creando y borrando iptables -I SMARTPHONES -m mac --mac-source AA -j CONNMARK --set-mark 0xfe . . . iptables -I SMARTPHONES -m mac --mac-source ZZ -j CONNMARK --set-mark 0xfe O sea, la idea que tengo es solamente hacer las comprobaciones de la MAC con el primer paquete de la conexión y ponerle una marca. Eso evita que los siguientes paquetes de las máquinas que pueden conectar tengan que atravesar de nuevo toda la lista de direcciones MAC. ¿Es buena idea esto? ¿Creéis que funcionará? Lo que no sé si hacer es justamente después de marcar el paquete, salir de la cadena SMARTPHONES: iptables -A SMARTPHONES -m mac --mac-source AA -j CONNMARK --set-mark 0xfe iptables -A SMARTPHONES -m connmark --mark 0xfe -j RETURN Esto duplica las reglas de la cadena SMARTPHONES a cambio de no tener que comprobar todas las reglas, si el paquete resulta marcado. No sé qué será lo menos costoso: supongo que dependerá de la proporción de máquinas filtradas respecto a las totales. Tampoco sé muy bien si todas las comprobaciones son igual de costosas: imagino que no. De antemano, muchas gracias y perdón por el tochazo. -- Femmina è cosa mobil per natura. --- Francisco Petrarca --- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140513153152.ga7...@cubo.casa
