Koozali.org: home of the SME Server

Bloqueo por MAC Address

Offline d_loayza

  • *
  • 37
  • +0/-0
Bloqueo por MAC Address
« on: April 07, 2010, 02:31:38 AM »
Hace algunos años estoy usando SME server y me gusta mucho, en el foro www.linuxespanol.com verán como lo he recomendado.

He usado Dansguardian para controlar a los usuarios de las empresas en la navegación por Internet con bastante exito, sin embargo de un tiempo para aca hay ciertos "inteligentes" que aprovechan las IP´s de navegación libre para colocárselas a sus equipos y poder así saltarse el Dansguardian. Me di cuenta de ello porque a veces usaban mi IP, creando obviamente un conflicto en la red. :-)

He aquí la solución:

1) Crea un directorio en /etc/squid/lists/
mkdir /etc/squid/lists/

2) Crea una archivo de texto en ese directorio llamado bannedmaclist y coloca allí adentro los MAC address de los clientes que quieras bloquear. Con el siguiente formato 01:02:45:F5:E1:67. Una MAC Address por línea. Yo uso mcedit.

3) Crea el directorio /etc/e-smith/templates-custom/etc/squid
mkdir -p /etc/e-smith/templates-custom/etc/squid

4) Copia el archivo squid.conf ubicado en /etc/squid en el directorio que acabas de crear.
cp /etc/squid/squid.conf  /etc/e-smith/templates-custom/etc/squid

5) Crea una nueva lista de bloqueo agregando la linea:
acl macblock arp "/etc/squid/lists/bannedmaclist"

6) Modifica la línea donde se da el acceso al servicio de navegación:
http_access allow localsrc se cambia por http_access allow localsrc !macblock

7) Expande el archivo de configuracion
expand-template /etc/squid/squid.conf

8) Reinicia el servicio squid.
service squid restart.

Si algún "inteligente" quiere dárselas de zorro, entonces le bloqueo la mac y lo dejo castigado sin Internet hasta que yo quiera. Yop creo que funciona en cualquier version de SME server que tenga habilitado las listas arp, con el comando squid -v pueder ver si fué compilado así, debe aparecerte --enable-arp-acl.

Espero les sirva.

Saludos cordiales.

Ing. Daniel J. Loayza M.












 





Offline Normando

  • *
  • 841
  • +2/-1
    • Unixlan
Re: Bloqueo por MAC Address
« Reply #1 on: April 07, 2010, 11:44:55 PM »
Gracias por el aporte Daniel

Ahora, para seguir el procedimiento normal para cualquier cambio en la configuración del SME debes utilizar los fragmentos de plantilla, no el archivo squid.conf.

Te detallo a qué me refiero:

El punto 3 debería ser:
Code: [Select]
mkdir -p /etc/e-smith/templates-custom/etc/squid/squid.conf
El 4:
Code: [Select]
cp /etc/e-smith/templates/squid/squid.conf/40http_access75AllowLocal /etc/e-smith/templates-custom/etc/squid/squid.conf
El5:
Code: [Select]
touch /etc/e-smith/templates-custom/etc/squid/squid.conf/20ACL35macblock
echo "acl macblock arp \"/etc/squid/lists/bannedmaclist\"" > /etc/e-smith/templates-custom/etc/squid/squid.conf/20ACL35macblock

El 6:
Quote
Cambiar en el archivo /etc/e-smith/templates-custom/etc/squid/squid.conf/40http_access75AllowLocal
http_access allow localsrc
por
http_access allow localsrc !macblock

El resto igual. Ahora bien, puedes utilizar claves en la db de configuración para introducir las MAC manualmente desde la consola sin necesidad de editar un archivo.

Esto y mucho más lo tienes en la documentación de desarrollo:
http://wiki.contribs.org/SME_Server:Documentation:Developers_Manual

Sería muy importante que agregues esto al wiki, ya que en el foro con el paso del tiempo quedará extraviado. Puedes agregarlo en la página de discusión de DG para discutirlo, ya que podría agregarse al rpm de DG:
http://wiki.contribs.org/Talk:Dansguardian

Independientemente de que hayas solucionado el problema de esta manera, de qué forma autenticabas los usuarios del SME en DG? Porque en mi caso autenticando por usuario (no por IP) nunca tuve ese problema.


Saludos
« Last Edit: April 07, 2010, 11:53:24 PM by Normando »

Offline d_loayza

  • *
  • 37
  • +0/-0
Re: Bloqueo por MAC Address
« Reply #2 on: April 09, 2010, 02:53:35 AM »
Ok, voy a probar lo que me dices y haré las correciones pertienetes, tienes razón debemos cumplir con los estándares, para eso son no? :-) Una vez hechas las correciones publicaré el post en el wiki.

Te comento que yo no autentico los usuarios en DG, es que en las redes que mantengo hay usuarios "inteligentes" y otros que estan en el otro extremo, entiendes a que me refiero no?, entonces no quiero complicarlos con tantas contraseñas y demás, ellos prenden su equipo, dan la contraseña de la red y a trabajar. No se si se puede usar la misma contraseña de inicio de sesión para DG, sin que la vuelva a pedir al iniciar el navegador web. Te aclaro que no soy un experto en DG.

Los linux yo los uso como servidores, casi todos los clientes son WindowsXP (Disculpa por decir malas palabras en el foro), es que en venezuela casi todos los desarrolladores de aplicaciones ERP le han donado (ni siquiera vendido) su alma a Bill. Ni siquiera son capaces de hacer compatibles sus aplicaciones con MySQL o Postgresql, y obligan a las empresas a comprar un Windows Server + SQL Server (más groserías) :-)

Saludos cordiales

Ing. Daniel J. Loayza M.
 

Offline xavier

  • *
  • 30
  • +0/-0
  • Live
Re: Bloqueo por MAC Address
« Reply #3 on: December 07, 2010, 05:31:28 PM »
buenos dias
instale el sme server como servidor privado y puerta de enlace pero quisiera implementar algun servidor proxy
y por su ecperiencia me gustaria que me asesore en cual escojer y como seria la configuracion, gracias y espero su respuesta...
Divertido...

Offline xavier

  • *
  • 30
  • +0/-0
  • Live
Re: Bloqueo por MAC Address
« Reply #4 on: December 07, 2010, 05:37:47 PM »
Buenos dias, he instalado sme server como servidor privado y puerta de enlace y
ademas me gustaria implementar un servidor proxy transparente para el filtrado de la red y por su experiencia
me gustaria que me guie en la instalacion y configuracion, gracias y espero su respuesta......
Divertido...

Offline d_loayza

  • *
  • 37
  • +0/-0
Re: Bloqueo por MAC Address
« Reply #5 on: December 07, 2010, 07:55:32 PM »
SME Server ya trae por defecto instalado el Squid que es un proxy transparente y permite hacer algunas labores para el filtrado tal colmo trata este tema.

Sin embargo, creo que debes fijarte en DansGuardian en la sección de contribuciones en la página web www.contribs.org, que es un software que te permite realizar el control del servicio de Internet en la red lan de una forma más efectiva.

Saludos



Offline xavier

  • *
  • 30
  • +0/-0
  • Live
Re: Bloqueo por MAC Address
« Reply #6 on: December 07, 2010, 10:59:22 PM »
gracias por la respuesta, e instalado dansguardian pero tengo una duda, dansguardian es suficiente y completo para usarlo solo
ya que en algunos foros veo que usan con squid, otra inquietud en el tutorial de contribs tengo una duda sobre el siguiente punto

1) Configure your SME Server to use Transparent Proxy port 8080 and to block direct access to the squid proxy port 3128 & redirect port 80 to port 8080

Note the functionality to create the required custom firewall rules using iptables is built in to the smeserver-dansguardian and is configured with the following commands. The Transparent proxy must also be enabled (which is the sme default) to prevent users bypassing Dansguardian filtering.

config setprop squid TransparentPort 8080
config setprop squid Transparent yes
config setprop dansguardian portblocking yes
signal-event post-upgrade; signal-event reboot

To return Transparent Proxy port to default value and to disable portblocking and to enable the Transparent proxy (which is the sme default)

config setprop squid TransparentPort 3128
config setprop squid Transparent yes
config delprop dansguardian portblocking
signal-event post-upgrade; signal-event reboot


   Note:
   If you disable the Transparent Proxy feature of SME Server, Dansguardian can be bypassed at will by your users. You should keep the Transparent Proxy enabled (configured as above) for filtering to work.

en la nota indica que debe estar avilitado el proxy transparente y en el paso 1 cual tendria que hacer,
el

config setprop squid TransparentPort 8080
config setprop squid Transparent yes
config setprop dansguardian portblocking yes
signal-event post-upgrade; signal-event reboot
o el
config setprop squid TransparentPort 3128
config setprop squid Transparent yes
config delprop dansguardian portblocking
signal-event post-upgrade; signal-event reboot
o tendria que hacer los dos

esa mi inquietud, espero me pueda ayudar,
tambien dice sobre usar iptable pero al hacer lo anterior ya estaria modificando iptables o tendria q hacer algun paso adicional
gracias de antemano y espero su respuesta.
Divertido...

Offline d_loayza

  • *
  • 37
  • +0/-0
Re: Bloqueo por MAC Address
« Reply #7 on: December 08, 2010, 01:35:31 PM »
Dansguardian es una solución bastante completa para lo que tu quieres hacer. Sucede este trabaja controlando las IP´s de las máquinas, si tienes usuarios en la red que son lo sufientemente inteligentes y tienen los privilegios adecuados pueden descubrir una IP que este liberada y luego ponerla en su equipo para navegar libremente meintras el equipo que usa esta IP esta apagado. Por esa causa se inició este tema en el foro, ahora Dansguardian tambien permite crear una lista de usuarios de tal manera que cada vez que una persona cargue un navegador le pida user y password, de esta manera se controla aún mejor y se elimina el problema al controlar solo por IP´s, solo que yo no quise complicarme mucho.

Squid ya esta instalado en SME Server, al instalar dansguardian ya tienes ambos instalados en tu servidor, IPtables es otra forma controlar el trafico, pero se usa más para equipos o servicios, puedes entonces para algunas cosas bloquear por dansguardian, para otras bloquear por Squid y para otras bloquear por IPtables. (Sírvase de la mesa compañero :-) !!!)

Con respecto a tu duda, cuando instalas dansguardian solo se instala, es decir no se "activa", por defecto no esta controlando el tráfico. 

Con esto lo activas:
config setprop squid TransparentPort 8080
config setprop squid Transparent yes
config setprop dansguardian portblocking yes
signal-event post-upgrade; signal-event reboot

Con esto lo desactivas:
config setprop squid TransparentPort 3128
config setprop squid Transparent yes
config delprop dansguardian portblocking
signal-event post-upgrade; signal-event reboot

Saludos Cordiales

 

 


Offline xavier

  • *
  • 30
  • +0/-0
  • Live
Re: Bloqueo por MAC Address
« Reply #8 on: December 08, 2010, 03:46:34 PM »
Gracias compañero por tu respuesta,

entonces una conexion de salida pasaria por dansguardian squid e iptables
y para el mejor control habria que configurar cada uno de acuerdo a las necesidades deceadas,
o hay que hacer algun cambio o alguna configuracion para enlazar estas tres herramientas,
una consulta respecto a squid e leido y segun comentan la configuracion que se realiza se borra al
reinicial la maquina ya que esta echo con termplantes y para configurar y que no se borre hay que crear templantes
personalizados, estos templantes personalizados hay que hacerlos en squid dansguardian e iptable o estoy mal en este asunto,
esa mi duda compañero.....
gracias.....
Divertido...

Offline xavier

  • *
  • 30
  • +0/-0
  • Live
Re: Bloqueo por MAC Address
« Reply #9 on: December 08, 2010, 03:50:39 PM »
otra pregunta vi en el manual que para activar el navegador con nombre y pass hay que configurar los navegadores de cada usuario,
habria alguna forma de hacer esto transparente sin tener que configurar los nevegadores...
Divertido...

Offline d_loayza

  • *
  • 37
  • +0/-0
Re: Bloqueo por MAC Address
« Reply #10 on: December 08, 2010, 04:37:29 PM »
Las plantillas personalizadas o Custom Templates son nativos de SME Server, estas debes usarlas obligatoriamente en cualquier paquete que venga built-in SME Server, en tu caso IPtables y Squid.

Dansguardian es una contribución aparte, tiene sus propios archivos de configuración y por lo tanto no sigue los estándares definidos por los desarrolladores de SME Server.

Las herramientas estan enlazadas ya, pero cada una es configurable de acuerdo a tus necesidades. Las contribuciones tienen sus guias de instalación, configuracion y puesta en marcha.

Creo que el para activar nombre y password, se hace directamente en Dansguardian, no requieres hacer nada en los navegadores. Pero no estoy seguro ya que nunca lo he hecho, alli no te puedo ayudar mucho.

Saludos




Offline xavier

  • *
  • 30
  • +0/-0
  • Live
Re: Bloqueo por MAC Address
« Reply #11 on: December 08, 2010, 05:05:43 PM »
entonces obligatoriamente tengo que creear las personalizadas para un  mayor control,
ya que si modifico las echas los cambios en las plantillas no se guardaran, es asi o estoy mal,
gracias..
Divertido...

Offline d_loayza

  • *
  • 37
  • +0/-0
Re: Bloqueo por MAC Address
« Reply #12 on: December 08, 2010, 05:36:12 PM »
Quote
Las plantillas personalizadas o Custom Templates son nativos de SME Server, estas debes usarlas obligatoriamente en cualquier paquete que venga built-in SME Server, en tu caso IPtables y Squid.
[/b]

Es asi.

Offline xavier

  • *
  • 30
  • +0/-0
  • Live
Re: Bloqueo por MAC Address
« Reply #13 on: December 08, 2010, 05:39:24 PM »
gracias compañero.....
Divertido...

Offline xavier

  • *
  • 30
  • +0/-0
  • Live
Re: Bloqueo por MAC Address
« Reply #14 on: December 10, 2010, 06:34:32 PM »
Buenos dias compañero disculpe una consulta,
ya instale dansguardian y esta funcionando muy bien, el bloqueo de ip,paguinas, extenciones,
pero no encuentro forma de bloquear ip especificas por ejemplo para el messenger, para
restringir solo a algunas ip y a otras no, e leido que squid podria hacer esto, pero como haria
solo ese bloqueo en squid ya que el resto de control lo hace dansguardian, o alguna otra
sugerencia gustoso en escucharle, gracias...
Divertido...

Offline d_loayza

  • *
  • 37
  • +0/-0
Re: Bloqueo por MAC Address
« Reply #15 on: December 10, 2010, 08:16:32 PM »
Hay dos programas que son problemáticos de bloquear ARES y Messenger, ellos cambian automáticamente el puerto TCP el inclusive el protocolo de comunicación. Antes era facil bloquearlos, ahora no. Lamentablemente no tengo una solución confiable para esto, hay gente que bloquea todos los puertos y luego abre los que necesita, pero podría traerte problemas y quejas de los usuarios, como me pasó a mi.

La restricción de estos programas las he hecho vía memo interno, es decir; quien los instale en la empresa se arriesga a perder su empleo.

Saludos cordiales.
   

Offline xavier

  • *
  • 30
  • +0/-0
  • Live
Re: Bloqueo por MAC Address
« Reply #16 on: December 10, 2010, 10:56:13 PM »
Me surguio un problema inesperado
no descargan los correos, me parece que dansguardian esta bloqueando la descarga,
usan el outlook com direcciones como usuario@dominio.com como podria hacer
para permitir el paso de la descarga, si me puede ayudar gracias....
Divertido...

Offline d_loayza

  • *
  • 37
  • +0/-0
Re: Bloqueo por MAC Address
« Reply #17 on: December 10, 2010, 11:56:47 PM »
Si usan outlook, no debería haber problemas. Dansguardian bloquea la descarga en correos webmail, es decir que se revisar por un navegador de internet (Explorer, Firefix, Chrome, etc.). Dansguardian no interviene en clientes de correo POP o IMAP.

En todo caso actualiza tu SME server.

yum clean all
yum update
signal-event post-upgrade; signal-event reboot.

Si el antivirus integrado con SME Server (ClamAV) esta desactualizado, este bloquea el tráfico de correos.

Saludos cordiales

 

Offline dante5do

  • ***
  • 72
  • +0/-0
Re: Bloqueo por MAC Address
« Reply #18 on: December 27, 2011, 06:20:41 AM »
Perfect el dansguardian

Saludos
Dante

Offline ddanny81

  • 1
  • +0/-0
Re: Bloqueo por MAC Address
« Reply #19 on: April 03, 2012, 08:29:23 PM »
Hola Daniel Loayza y gente del foro, me pueden ayudar con una solución para mi SME.
Tengo activado mi servidor como controlador de dominio, pero cuando trato de ingresar las computadoras de la red al dominio aparece una alerta que me dice que no se puede conectar con ese controlador de dominio.
Hay alguna configuración adicional que deba hacer en la pagina de configuración del SME?
Gracias por su ayuda
Saludos

Re: Bloqueo por MAC Address
« Reply #20 on: January 29, 2013, 01:55:56 AM »
La verdad se vé una solución muy elegante, pero yo tengo un coeficiente de 89 pero me alcanza como para hacer doble click en el maccharger, y de muy ultima cambiar la mac address del modem , la unica forma de bloquear sería en todo caso mandar las direcciones mac a cada usuario que las vá a usar, más una clave de 12 digitos alfanumericos, (si 12^37), aunque también si te reenvian paquetes podrían de alguna forma encontrar la mac, en todo caso habría que ponerle un firewall safable... aunque también mmmm. lo veo muy dificil... yo lo que intentaría es hablar con los que hacen lio y de muy ultima suspenderlos por un par de horas... no "cuando uno quiere" porque es como que comienzan a aprender a un ritmo vertiginoso... no como un viejo sin estudios de 36 años como yo.  :smile: