Página 1 de 1

SQUID y MACS

Publicado: Jue, 15 Ago 2013, 08:25
por frizquierdo
Saludos a todos.
Mi problem es el siguiente, las reglas de mi squid filtran por direcciones ip.
Pero la realidad es que deseo que el filtrado se realice solamente por macs.

haber, me imagino que si pongo en un fichero las macs de las pc de la red y a ese fichero le doy acceso y un deny all, al final debería funcionar. Pero la realidad es otra, me deniega todo.

por favor un ejemplo probado de esta configuracion que me funcione ?!?!?!?!

Gracias.

Re: SQUID y MACS

Publicado: Jue, 15 Ago 2013, 10:06
por hugo
Prueba así:

Código: Seleccionar todo

acl mac-permitidas arp "/etc/squid/macs-permitidas"
http_access allow mac-permitidas
http_access deny all

Re: SQUID y MACS

Publicado: Jue, 15 Ago 2013, 10:26
por frizquierdo
Hugo, que comando se usa para obtener las macs de las pc de la red desde el gateway de mi reeed ???


ya ya, es el nmap, jejeejje.

deja probar

Re: SQUID y MACS

Publicado: Vie, 16 Ago 2013, 08:46
por frizquierdo
hugo escribió:Prueba así:

Código: Seleccionar todo

acl mac-permitidas arp "/etc/squid/macs-permitidas"
http_access allow mac-permitidas
http_access deny all

Hugo, yo uso squid 2.7 en Debian 6.*** , la cuestion es que al parsear las mac que comienzan con 00 da error.

existe alguna solucion para esto ???, en otra version superior estará solucionado ??

buscando en la documentacion de squid dice esto acerca de las reglas para mac:

Código: Seleccionar todo

acl aclname arp      mac-address ... (xx:xx:xx:xx:xx:xx notation)
	  # The arp ACL requires the special configure option --enable-arp-acl.
	  # Furthermore, the ARP ACL code is not portable to all operating systems.
	  # It works on Linux, Solaris, Windows, FreeBSD, and some
	  # other *BSD variants.
acaso no estará ya compilado la version de los repos de debian con esto ???

Re: SQUID y MACS

Publicado: Vie, 16 Ago 2013, 18:28
por hugo
Para obtener las direcciones mac el paquete arp-scan es muy util. En cuanto a eso del 00, primera vez que me entero de tal cosa. Quizas la codificacion del sistema influya, es decir, si tienes el sistema en UTF-8, el archivo donde guardas las mac deberia tener la misma codificacion. (Aunque quizas no tenga nada que ver)

Re: SQUID y MACS

Publicado: Sab, 17 Ago 2013, 10:42
por frizquierdo
hugo, el filtrado mac lo logre de esta manera:

Código: Seleccionar todo

http_access allow localhost
http_access deny !macsRedLocal
http_access allow ipInformatica
http_access alllow ipRed !sitiosDenegadoIpRed !extensionesDenegadasIpRed
http_acess deny all
ahora bien, he intentado separar las macs de informatica del resto como lo hice con las ip, y tener un control solo por direcciones macs, de esta manera:

Código: Seleccionar todo

http_access allow localhost
http_access allow macsInformatica
http_access alllow macsDepartamentos !sitiosDenegadoIpRed !extensionesDenegadasIpRed
http_acess deny all
jeje, editando, hugo esto era lo que queria hacer, que todo el filtrado fuera por macs, en definitiva es mas seguro que por ip

Re: SQUID y MACS

Publicado: Lun, 19 Ago 2013, 19:41
por hugo
Bueno, esa seguridad es relativa, pues las direcciones mac también se pueden falsear, asi que no te confíes demasiado en esto.
Si yo fuese tu, usaría autenticación, además de permitir el acceso por direcciones mac. Aunque hay lugares donde no conviene usar direcciones mac. Por ejemplo en mi actual empresa, cada quien se conecta desde su puesto de trabajo o simplemente desde donde puede, porque las maquinas van quedando obsoletas y a cada rato se rompe una.

Re: SQUID y MACS

Publicado: Mar, 20 Ago 2013, 10:55
por frizquierdo
bueno, pues es cierto en linux ya vi que hay un comando para cambiar la mac, en windows no se pero debe existir al soft.

lo otro, es extraño pero me sucede que cuando hago nmap desde la pc puerta de enlace de mi red me devuelve direcciones mac duplicadas para ip diferentes. tuve que ir PC por PC.

con el tema de la autenticacion, ya estuvimos conversando sobre eso por aca, por el liode las inspecciones de la OSRI y por supuesto mas seguridad. La manera mas simple seria autenticar contra un fichero con pares usuario:contrasenha. LDAP es complicado y lo otro es que mi red usa un AD en Windows Server 2003, se pudiera aprovechar un poco eso. Estuve leyendo algunos comentarios por aca sobre esto pero no me queda nada claro.
Alguna ayuda me puedan ofrecer.

Re: SQUID y MACS

Publicado: Mié, 21 Ago 2013, 07:34
por hugo
Creo que hay usuarios que suelen autenticar contra el AD mas o menos así:

Código: Seleccionar todo

auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=midominio,dc=cu" -D "cn=AdministradorDelAD,ou=User,dc=midominio,dc=cu" -w "MiClave" -f sAMAccountName=%s -h ad.midominio.cu
auth_param basic children 5
auth_param basic realm Proxy de MiOrganización
auth_param basic credentialsttl 5 minutes
acl autentificados proxy_auth REQUIRED
http_access allow localhost
http_access deny !autentificados
http_access allow macsInformatica autentificados
http_access allow macsDepartamentos autentificados !sitiosDenegadoIpRed !extensionesDenegadasIpRed
http_access deny all
Ahora, para que solamente ciertos grupos del AD tengan acceso, creo que necesitas algo mas o menos así:

Código: Seleccionar todo

external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=midominio,dc=cu" -D "cn=AdministradorDelAD,ou=User,dc=midominio,dc=cu" -w "MiClave" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=User,dc=midominio,dc=cu))" -h ad.midominio.cu
Ojo: realmente nunca he trabajado con Squid contra AD, asi que no tomes estos ejemplos como 100% infalibles.

Re: SQUID y MACS

Publicado: Mié, 21 Ago 2013, 13:29
por frizquierdo
lo pruebo y comento, ah una cosa, antes debo agregar la PC proxy al dominio del AD ????
me imagino que si