DHCP + Proxy Squid Transparente

Interesante información la que me habeis dado.

La de hacer "nocat" (usuario y contraseña para poder acceder a internet) ya la intenté hacer pero desde dirección no la aprobaron. Nose porque razón no quisieron..., además, para eso habria que crear unas 2000 cuentas de usuario y ahi ya me muero jajaja.

Yo la verdad, ya que dispongo de un servidor nuevo me gustaria aprovecharlo e instalar Squid Transparente.

El problema que tengo soy yo, que no lo he hecho nunca y tampoco se trabajar con iptables. He seguido varios manuales donde aparentemente una vez terminas lo que te dice el manual deberia funcionar todo correctamente pero no es así.

La que más me ha gustado es esta: http://blog.unlugarenelmundo.es/2008...uid-en-debian/

Una vez finalizo la instalación tal y como lo explica, no funciona el proxy. Tengo que entrar a webmin y dentro de "Proxy Squid" hay un apartado (no recuerdo ahora como esta) que de fabrica pone:

lan ---> Denegar

Lo cambio, pongo Permitir y ya funciona. Lo único que me queda por resolver es hacer una lista de IPs permitidas y otra lista con las IPs bloqueadas. Así voy agregando a la lista de Permitidos todas aquellas IPs que yo he dado de alta. Así el resto de IP's no tendrán acceso.

Lo he intentado hacer tal creando un archivo llamado "permitidos.acl" y despues agregando ese archivo con una acl al archivo de squid.conf pero no me funciona.

"Solo" me queda eso, lo otro ya es cosa de ir tocando. Si alguien sabe como funciona eso de las listas de permitidos y nopermitidos le agradezco que me lo explique

Gracias a todos por la ayuda

Y poner los AP's en una red distinta, sin conexión directa a la principal, y luego obligar a la gente a abrir una VPN (con pptp por ejemplo, que es fácil de configurar en win) para ganar acceso a la red "de verdad" que te parece?

Es que cualquier solución que identifique MACs al final no valdrá porque los chavales aprenderan a cambiarse la MAC y estás jodio otra vez. Con la VPN tendrías acceso por usuario/contraseña, pero con usuarios/contraseñas asociados a cada persona, no a la red en general. Estos es más difícil que circulen, y siempre podrás desactivar el usuario o cambiarle el pass a un usuario si se lo pillan.

Para la red cableada, normalmente los switchs permiten hacer mac filtering para cada boca. Es un poco de curro, pero si filtras para que solo la mac que tu asignes tenga red, pues ya complicas bastante que pillen el cable de un pc y enchufen el portátil porque deberían atinar a ponerse exactamente la mac de ese ordenador. Además siempre les puedes pillar físicamente y meterles un puro.

Obviamente todo esto es -además- de configurar el proxy transparente y capar todos los puertos de salida no estándar (Yo dejaría solo ssh, http, https, pops, imaps, messenger, jabber-client y para de contar.). Piensa que el proxy también te deja filtrar por reglas (no piratebay, no cosas porno, no megavideo/megaupload, etc...).

Ya que tiene una maquina para gestionar todo, seria más fácil montar un portal cautivo.

Yo lo que haria:

1) Cambia el rango de red. Si ahora estas en 192.168.1.x, cambialo a 10.0.245.x con la misma mascara. De esta forma, lo que evitas es que la gente que haya aprendido a ponerse una IP fija y entre en la red ya no tiene acceso a ello.

2) Activar DHCP. Un pool donde esten los ordenadores fijos, es decir, tal MAC es tal IP, y dejas otro pool para clientes temporales.

3) Busca informacion de nocat (esta pagina parece estar bien http://www.olotwireless.net/castella/nocatauth.htm ). Con esto lo que consigues, es que todo aquel que se conecte, le de una IP por DHCP por supuesto, pero que se IDENTIFIQUE ante la red. Asi controlas que usuarios pueden entrar solo con el usuario y contraseña correcto.

Asi, lo que haces es evitar:
- Que los usuarios dupliquen IPs porque se las vas a dar por DHCP y encima le has cambiado el rango de red para evitar posibles problemas que pudieran aparecer inicialmente.

- Controlar quien se conecta. Si corre la voz de un usuario y password, lo das de baja y listo. Tambien deberias guardar informacion de todos esos usuarios que se te conectan a la wifi, no sea que algun dia te vayan a pedir responsabilidades.

Si lo de nocat te parece complicado, puedes probar a poner el los APs encriptacion por WPA Enterprise, con un servidor Radius. Seria un estilo a lo del nocat con la diferencia que con Radius haces la autenticacion a la red antes de conectarte a ella y con nocat la red deberia estar abierta y despues se identificarian por medio de la pagina web del nocat.

Espero haberte aclarado unos cuantos conceptos, si necesitas alguna aclaracion mas no dudes en preguntar.

Jajaja nono. Solamente era un ejemplo.

Supongo que no habrás intentado ponerle la 321 de verdad, ¿o sí? Porque si es así, quizá ahí está el problema. Y yo el otro día peleándome con una 260 en casa

Ya lo habia pensado. El problema es que el Router principal es un SonicWall (un firewall). Evidentemente dispone de DHCP Server, pero no funciona bien. Osea, si ahora agrego a una dirección MAC la ip 192.168.1.123 funciona, pero si despues quiero cambiarle la IP a esa MAC y ponerle por ejemplo 192.168.1.321 ya no funciona. Le sigue dando la IP vieja.

He mirado de cambiar el tiempo en el cual se limpia la memoria del firewall, etc..., pero no funciona. Llame al Soporte de SonicWall a ver si me podian ayudar y me dijeron que como no disponia de una licencia de soporte (que vale 300€ al año) no me podian ayudar...., ya ves tu. Para una duda voy a pagarte 300€?!

Así que preferimos el ordenador que tiene más salidas

Activa el DHCP en el router principal y también la "Reserva DHCP" (así se llama en los Linksys), que te permite hacer justo lo que necesitas, es decir, asignar una IP fija de tu elección a una MAC, siempre que esa IP la obtengan por DHCP, claro está.

Eso junto con el MAC filter y contraseña (aunque la sepan todos), te soluciona el problema.

Salu2

mmm..., sobre lo Wifi. Bien, el tema no es bloquear las IP's de los accesos wifi sino todas. Es decir, aunque los alumnos utilicen el wifi para conectarse a Internet (inventandose 1 IP), los profesores muchas veces cambian la IP de su portatil ya que van a su casa, deshabilitan la IP que les he asignado y cuando vuelven al centro se la vuelven a poner. El problema de eso es que cada vez se ponen una y eso provoca el problema de "IP duplicada"

Aparte, es una forma de tener controlado a quien pertenece cada IP.

Y digo yo... no sería más fácil activar el MAC filter en los puntos de acceso permitiendo que se conecten las direcciones MAC que tú indiques? No tendrías que poner las MAC de todos los equipos del instituto que se conecten por WiFi, sólo las de aquellos que estén en el rango de cobertura de ese punto de acceso (excepto portátiles).

Otra opción: Si la instalación WiFi se hizo de una, supongo que el modelo del punto de acceso será el mismo. En ese caso y suponiendo que sean equipos medio decentes, solo tienes que configurar uno (con todas las MAC), bajarte la configuración y cargarla en el resto.

Otra opción diferente: En las DNS del router principal, ponle las de OpenDNS y configúralo (https://www.opendns.com/dashboard/) para que que bloquee absolutamente todas las categorías disponibles (deja Google en la whitelist, así los tienes entretenidos), bloquea el acceso a los DNS conocidos (8.8.8.8 y 8.8.4.4 de Google que son fáciles de recordar, por ejemplo) y configura manualmente otros DNS en todos los equipos. Esto lleva mucho tiempo pero si lo haces, y gpedit.msc de por medio, bloqueas el panel de control para usuarios no Administradores, e ipconfig.exe, no tendrán forma de saber qué DNS sí funcionan.


Sobre squid no te puedo ayudar, lo siento.

Salu2

Bueno, el tema es el siguiente: (Voy a explicarlo detalladito para que se comprenda mejor el "problema"

Disponemos de un centro escolar con unos 200 ordenadores, impresoras en red, etc...

Gran parte de la red es cableada, pero otra mucha funciona de forma inalambrica (wifi). Disponemos de 15 puntos de acceso Wifi repartidos por todo el centro.

Como sabemos que la contraseña del wifi puede ser averiguada facilmente (ya sea porque alguien la dice, etc...) lo que hice como administrador de la red, fué deshabilitar el DHCP para que si algún alumno se intentara conectar sin permiso no pudiera tener acceso a la red puesto que no tendria IP.

Esto al principio funcionaba, pero poco a poco se van enterando del tema y lo que hacen es inventarse una IP, se la ponen en el movil/pda/portatil y entran a Internet, descargan musica...

Bien, este es un problema, ya que la red pierde velocidad, pero por otra parte el mayor problema es similar a este:

Digamos que el alumno se pone en su movil la Ip 192.168.1.185 (que es la misma que tiene asignado un equipo del instituto). Se conecta al wifi y causa problemas a X equipo y le sale el tipico cartelito de "Su IP está duplicada".

No solamente pasa con alumnos, sino que tanto profesores como otras personas se ponen una IP "arreu" en su portatil y dejan sin conexión a otras personas o incluso si acceso a una fotocopiadora en red (si se ponen la misma IP que la impresora, dicha impresora no funciona...)

Ahora la parte técnica:

Mi solución de cara al verano fué pedir un servidor suficientemente potente (Quad Core, 6GB de Ram) y hacerlo funcionar como Servidor DHCP y Proxy Transparente.

- Porque utilizarlo para DHCP? Pues mi idea es que sea yo el ÚNICO que se encargue de gestionar las IP's de la red y a quien le pertenecen.

Lo que he hecho es configurar el servidor DHCP con Ubuntu y de esa forma asignar YO las IP's enlazandolas con las MAC de los ordenadores. Es decir, al PC134 con su dirección MAC le pertenece la IP 192.168.1.163:

PC134 ----> 00:01:02:03:04:08 ----> 192.168.1.163

Así me aseguro que PC134 siempre tendrá esa IP ya que se la he asignado yo.

Ahora viene el problema. Podrian seguir inventandose IP's y accediendo a la red. Me he propuesto instalar un servidor Proxy Squid Transparente y controlar quien debe tener acceso a la red y quien no.

De esa forma puedo hacer una lista "lista1" con las IP's de los equipos con derecho a Internet.

Pregunta 1: ¿Si hago una lista de IP's Permitidas, el resto de IP's que no estén en dicha lista, tendrian acceso a Internet? Es decir, las Ip's que no aparezcan en la lista serian denegadas automaticamente?

Supongamos que un alumno que está en el PC123 me está bajando de archivos de Internet (relentizando la conexión a Internet para el resto de gente).

Pregunta 2: ¿Como puedo hacer para en un momento dado cerrarle la conexión a Internet (puerto 80) a cierta IP?

Para las personas que utilizan un gestor de correos (Outlook) para recibir/enviar correos...:

Pregunta 3: ¿Despues de una instalación limpia de Squid, todos los puertos están abiertos? De no ser así, ¿Deberia abrir los puertos POP3, SMTP, IMAP de la red para que pudieran enviar/recibir correos?

Eso es todo. Bien, hay que decir que instalé Squid siguiendo este manual: http://blog.unlugarenelmundo.es/2008...uid-en-debian/

Si se sigue la instalación paso a paso como dice ahí no funciona. Osea, funciona pero si algún equipo quiere acceder a Google aparecia un error que ponia "Access Denied". Buscando por Internet encontré una solución que hizo que funcionara todo correctamente (la navegación por Internet)

Queria cerrar el puerto 80 a un ordenador (para probar si podia dejarlo sin internet), así que instalé Firestarter ya que con Iptables no me se manejar...

Una vez lo instalo deja de funcionar el Internet en todos los clientes. Como aún estoy en fase de pruebas, he reinstalado Ubuntu para empezar de nuevo y hacerlo bien y con vuestra ayuda. Me recomendais utilizar Firestarter como solucion gráfica para bloquear/permitir puertos en la red con Squid?

Bueno, un saludo y muchas gracias de antemano. Se que el texto es largo ya que me gusta explicarlo todo bien detallado y suelo enrollarme bastante jeje.

pd: Posteo esto aqui porque supongo que muchos de vosotros a parte de manejaros perfectamente en servidores tambien sabreis manejaros sobre redes locales, etc...