Koozali.org: home of the SME Server

Restringir salidas a Internet mediante MAC Address

Offline wpanessi

  • 7
  • +0/-0
Restringir salidas a Internet mediante MAC Address
« on: July 11, 2008, 01:32:12 AM »
Tengo un servidor SME 7 configurado como server & gateway y necesito que algunas PCs de la red no puedan salir a Internet. Hasta ahora lo he hecho con Restrict-IP (una contrib) pero tengo un usuario que cambia la ip para poder salir usando una de otra máquina que si tiene permisos (con todos los problemas que esto trae). Me gustaría entonces dar permisos o denegar pero usando la MAC Address de la placa de red. ¿Alguien sabe como hacer esto?.
Gracias !!

Offline Calimenio

  • *
  • 15
  • +0/-0
Re: Restringir salidas a Internet mediante MAC Address
« Reply #1 on: July 21, 2008, 05:55:10 PM »
Supongo que utiliza la ip cuando el otro equipo no se encuentra en funcionamiento, o sea en horarios no laborales así que podrias intentar restringir el acceso por horario.
Todo el mundo debe creer en algo, yo creo que voy a seguir bebiendo...

Offline wpanessi

  • 7
  • +0/-0
Re: Restringir salidas a Internet mediante MAC Address
« Reply #2 on: July 21, 2008, 06:14:05 PM »
Gracias Calimenio por tu respuesta. Ya intenté eso, pero utiliza la IP de una notebook que se conecta de vez en cuando. Lo que realmente me serviría es habilitar por MAC Address.

Offline wpanessi

  • 7
  • +0/-0
Re: Restringir salidas a Internet mediante MAC Address
« Reply #3 on: July 21, 2008, 07:52:17 PM »
Les cuento que logré incorporar la restricción agregando la regla con IPTABLE de esta manera :
sbin/iptables -I PREROUTING -t nat -j DROP -m mac --mac-source 00:15:F2:CE:5C:1A -p tcp --dport 80

Donde 00:15:F2:CE:5C:1A es la MAC Address de la computadora en cuestión.

Offline Normando

  • *
  • 841
  • +2/-1
    • Unixlan
Re: Restringir salidas a Internet mediante MAC Address
« Reply #4 on: July 22, 2008, 09:12:07 AM »
Gracias Calimenio por tu respuesta. Ya intenté eso, pero utiliza la IP de una notebook que se conecta de vez en cuando. Lo que realmente me serviría es habilitar por MAC Address.
La MAC Address también se cambia desde el mismo SO...
Desconozco si hay una solución mejor. De cualquier manera, en el próximo post-upgrade perderás los cambios realizados en iptables.
La única solución es que instales dansguardian y habilites internet por contraseña. Mira en el wiki:
http://wiki.contribs.org/Dansguardian
« Last Edit: July 22, 2008, 09:13:56 AM by Normando »

Offline wpanessi

  • 7
  • +0/-0
Re: Restringir salidas a Internet mediante MAC Address
« Reply #5 on: July 22, 2008, 03:41:47 PM »
Gracias Normando.
Si, he comprobado lo que desis. Efectivamente en el post-upgrade se pierden los cambios.
Primero, una solución al cambio de MAC por SO es denegar todas las salidas y solo habilitar las que pueden salir con lo cual debería "copiar" la MAC address de alguna de las máquinas con permisos. A pesar de ello, sigue siendo válido el tema que el cambio sobre IPTables no es permanente. Se me ocurrió entonces modificar a mano algún template para que en cada post-upgrade se vuelvan a poner las mismas reglas. Lo que no se aún es cual template tocar.

Offline Normando

  • *
  • 841
  • +2/-1
    • Unixlan
Re: Restringir salidas a Internet mediante MAC Address
« Reply #6 on: July 22, 2008, 04:25:18 PM »
No, no toques ningún template, sino cópialo desde templates a templates-custom y modifícalo alli. Si algo sale mal, solo deber borrarlo y reiniciar el servicio para que todo vuelva a la normalidad. Además si tocas el template directamente tendrás problemas en futuras actualizaciones.
Yo creo que debería dejar todo como esta, ey leer completo el artículo de dansguardian, el cual puede configurarse para que requiera autenticación por parte de quiénes deseen acceder a internet por medio del SME.

PD: Debería leer el manual de desarrollo del SME para comprender cómo opera o funciona cada parte, especialmente el tema de las templates.

Offline wpanessi

  • 7
  • +0/-0
Re: Restringir salidas a Internet mediante MAC Address
« Reply #7 on: July 22, 2008, 04:39:02 PM »
Te agrezco tu consejo Normando y voy a hacer lo que me recomendas. Verdaderamente no estaba convencido que modificar templates era una buena opción. Si bien nunca leí el manual que recomendás, soy usuario de SME hace tiempo ya y mas o menos me imagino como funciona  con lo cual no me tentaba para nada hacer eso. Voy a intentar con el dansguardian. Muchas Gracias.

Offline wpanessi

  • 7
  • +0/-0
Re: Restringir salidas a Internet mediante MAC Address
« Reply #8 on: July 22, 2008, 05:02:33 PM »
Normando, me quedó una duda... Como obtengo DansGuardians. Con yum no se puede porque no está en el repositorio. Miré en la página web y me da un monton de distribuciones distintas para bajar pero SME no está.

Offline Normando

  • *
  • 841
  • +2/-1
    • Unixlan
Re: Restringir salidas a Internet mediante MAC Address
« Reply #9 on: July 22, 2008, 05:13:12 PM »
Normando, me quedó una duda... Como obtengo DansGuardians. Con yum no se puede porque no está en el repositorio. Miré en la página web y me da un monton de distribuciones distintas para bajar pero SME no está.
Si tienes SME 7.3 actualizado solo debes ejecutar esto en la consola:
Code: [Select]
yum --enablerepo=smecontribs install smeserver-dansguardian tal como menciona en el wiki http://wiki.contribs.org/Dansguardian#Installation_instructions

Offline wpanessi

  • 7
  • +0/-0
Re: Restringir salidas a Internet mediante MAC Address
« Reply #10 on: July 22, 2008, 05:17:42 PM »
Ok, entonces no lo debo tener actualizado.
Gracias