SQUID y MACS

frizquierdo · Mensaje por **frizquierdo** » Jue, 15 Ago 2013, 08:25

Saludos a todos.
Mi problem es el siguiente, las reglas de mi squid filtran por direcciones ip.
Pero la realidad es que deseo que el filtrado se realice solamente por macs.

haber, me imagino que si pongo en un fichero las macs de las pc de la red y a ese fichero le doy acceso y un deny all, al final debería funcionar. Pero la realidad es otra, me deniega todo.

por favor un ejemplo probado de esta configuracion que me funcione ?!?!?!?!

Gracias.

Mensaje por **hugo** » Jue, 15 Ago 2013, 10:06

Prueba así:

Código: Seleccionar todo

acl mac-permitidas arp "/etc/squid/macs-permitidas"
http_access allow mac-permitidas
http_access deny all

frizquierdo · Mensaje por **frizquierdo** » Jue, 15 Ago 2013, 10:26

Hugo, que comando se usa para obtener las macs de las pc de la red desde el gateway de mi reeed ???

ya ya, es el nmap, jejeejje.

deja probar

frizquierdo · Mensaje por **frizquierdo** » Vie, 16 Ago 2013, 08:46

hugo escribió:Prueba así:
Código: Seleccionar todo
acl mac-permitidas arp "/etc/squid/macs-permitidas"
http_access allow mac-permitidas
http_access deny all

Hugo, yo uso squid 2.7 en Debian 6.*** , la cuestion es que al parsear las mac que comienzan con 00 da error.

existe alguna solucion para esto ???, en otra version superior estará solucionado ??

buscando en la documentacion de squid dice esto acerca de las reglas para mac:

Código: Seleccionar todo

acl aclname arp      mac-address ... (xx:xx:xx:xx:xx:xx notation)
	  # The arp ACL requires the special configure option --enable-arp-acl.
	  # Furthermore, the ARP ACL code is not portable to all operating systems.
	  # It works on Linux, Solaris, Windows, FreeBSD, and some
	  # other *BSD variants.

acaso no estará ya compilado la version de los repos de debian con esto ???

Mensaje por **hugo** » Vie, 16 Ago 2013, 18:28

Para obtener las direcciones mac el paquete arp-scan es muy util. En cuanto a eso del 00, primera vez que me entero de tal cosa. Quizas la codificacion del sistema influya, es decir, si tienes el sistema en UTF-8, el archivo donde guardas las mac deberia tener la misma codificacion. (Aunque quizas no tenga nada que ver)

frizquierdo · Mensaje por **frizquierdo** » Sab, 17 Ago 2013, 10:42

hugo, el filtrado mac lo logre de esta manera:

Código: Seleccionar todo

http_access allow localhost
http_access deny !macsRedLocal
http_access allow ipInformatica
http_access alllow ipRed !sitiosDenegadoIpRed !extensionesDenegadasIpRed
http_acess deny all

ahora bien, he intentado separar las macs de informatica del resto como lo hice con las ip, y tener un control solo por direcciones macs, de esta manera:

Código: Seleccionar todo

http_access allow localhost
http_access allow macsInformatica
http_access alllow macsDepartamentos !sitiosDenegadoIpRed !extensionesDenegadasIpRed
http_acess deny all

jeje, editando, hugo esto era lo que queria hacer, que todo el filtrado fuera por macs, en definitiva es mas seguro que por ip

Mensaje por **hugo** » Lun, 19 Ago 2013, 19:41

Bueno, esa seguridad es relativa, pues las direcciones mac también se pueden falsear, asi que no te confíes demasiado en esto.
Si yo fuese tu, usaría autenticación, además de permitir el acceso por direcciones mac. Aunque hay lugares donde no conviene usar direcciones mac. Por ejemplo en mi actual empresa, cada quien se conecta desde su puesto de trabajo o simplemente desde donde puede, porque las maquinas van quedando obsoletas y a cada rato se rompe una.

frizquierdo · Mensaje por **frizquierdo** » Mar, 20 Ago 2013, 10:55

bueno, pues es cierto en linux ya vi que hay un comando para cambiar la mac, en windows no se pero debe existir al soft.

lo otro, es extraño pero me sucede que cuando hago nmap desde la pc puerta de enlace de mi red me devuelve direcciones mac duplicadas para ip diferentes. tuve que ir PC por PC.

con el tema de la autenticacion, ya estuvimos conversando sobre eso por aca, por el liode las inspecciones de la OSRI y por supuesto mas seguridad. La manera mas simple seria autenticar contra un fichero con pares usuario:contrasenha. LDAP es complicado y lo otro es que mi red usa un AD en Windows Server 2003, se pudiera aprovechar un poco eso. Estuve leyendo algunos comentarios por aca sobre esto pero no me queda nada claro.
Alguna ayuda me puedan ofrecer.

Mensaje por **hugo** » Mié, 21 Ago 2013, 07:34

Creo que hay usuarios que suelen autenticar contra el AD mas o menos así:

Código: Seleccionar todo

auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=midominio,dc=cu" -D "cn=AdministradorDelAD,ou=User,dc=midominio,dc=cu" -w "MiClave" -f sAMAccountName=%s -h ad.midominio.cu
auth_param basic children 5
auth_param basic realm Proxy de MiOrganización
auth_param basic credentialsttl 5 minutes
acl autentificados proxy_auth REQUIRED
http_access allow localhost
http_access deny !autentificados
http_access allow macsInformatica autentificados
http_access allow macsDepartamentos autentificados !sitiosDenegadoIpRed !extensionesDenegadasIpRed
http_access deny all

Ahora, para que solamente ciertos grupos del AD tengan acceso, creo que necesitas algo mas o menos así:

Código: Seleccionar todo

external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=midominio,dc=cu" -D "cn=AdministradorDelAD,ou=User,dc=midominio,dc=cu" -w "MiClave" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=User,dc=midominio,dc=cu))" -h ad.midominio.cu

Ojo: realmente nunca he trabajado con Squid contra AD, asi que no tomes estos ejemplos como 100% infalibles.

frizquierdo · Mensaje por **frizquierdo** » Mié, 21 Ago 2013, 13:29

lo pruebo y comento, ah una cosa, antes debo agregar la PC proxy al dominio del AD ????
me imagino que si

Grupo de Usuarios de Tecnologías Libres

SQUID y MACS

SQUID y MACS

Re: SQUID y MACS

Re: SQUID y MACS

Re: SQUID y MACS

Re: SQUID y MACS

Re: SQUID y MACS

Re: SQUID y MACS

Re: SQUID y MACS

Re: SQUID y MACS

Re: SQUID y MACS