permitir salida a internet a algunos usuarios
Hola a todos Tengo un Suse 9.0 actuando de firewall entre internet y una red interna y queria saber que posibilidaes hay para permitir salida a internet solo a unos determinados usuarios de la red interna. Supongo que habrá que poner algun proxy como el squid pero no lo tengo muy claro ya que nunca he usado proxys para hacer firewall, siempre he usado ipchains/iptables Alguien que me pueda dar una indicacion de como hacerlo o donde buscar la información Gracias por adelantado Un saludo Emiliano Sutil
Tengo un Suse 9.0 actuando de firewall entre internet y una red interna y queria saber que posibilidaes hay para permitir salida a internet solo a unos determinados usuarios de la red interna. Supongo que habrá que poner algun proxy como el squid pero no lo tengo muy claro ya que nunca he usado proxys para hacer firewall, siempre he usado ipchains/iptables Alguien que me pueda dar una indicacion de como hacerlo o donde buscar la información <<<<<<<<<<<<<<<<<<< Una buena solución seria usar squid. Deberás instalarlo y elegir un método de autentificación. Tienes varios: LDAP, NCSA,SAMBA, el clasico passwd de linux, etc. Aqui tienes algo para ir empezando: http://www.linuxparatodos.net/linux/19-1-como-squid-autenticacion.php Gracias por adelantado Un saludo Emiliano Sutil -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Hombre si, con el squid puedes limitar la salida a determinadas maquinas, incluso a determinadas horas detener el trafico, pero lo que necesitas son reglas iptables para redireccionar los puertos que vengan de la red al proxy para que tome el control el squid a traves de listas de acceso (ACL): iptables -t nat -A PREROUTING -t tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128 (eso redirecciona las conesiones echas desde la lan dirigidas a http/https al squid). Yo no te recomendaria usar autentificacion en el squid para que las maquinas se validen en este, si queires restringir que x estaciones no salgan, simplemente deniegalas con reglas FORWARD de iptables: iptables -A FORWARD -s ip_a_bloquear -o eth0 -j DROP (suponiendo que eth0 es el dev que sale a inet y la fuente es la ip a bloquear pos simplemente deniega dicho trafico) El Lunes, 23 de Mayo de 2005 13:49, aux escribió:
Tengo un Suse 9.0 actuando de firewall entre internet y una red interna y queria saber que posibilidaes hay para permitir salida a internet solo a unos determinados usuarios de la red interna. Supongo que habrá que poner algun proxy como el squid pero no lo tengo muy claro ya que nunca he usado proxys para hacer firewall, siempre he usado ipchains/iptables
Alguien que me pueda dar una indicacion de como hacerlo o donde buscar la información <<<<<<<<<<<<<<<<<<<
Una buena solución seria usar squid. Deberás instalarlo y elegir un método de autentificación. Tienes varios: LDAP, NCSA,SAMBA, el clasico passwd de linux, etc.
Aqui tienes algo para ir empezando: http://www.linuxparatodos.net/linux/19-1-como-squid-autenticacion.php
Gracias por adelantado
Un saludo
Emiliano Sutil
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Hombre si, con el squid puedes limitar la salida a determinadas maquinas, incluso a determinadas horas detener el trafico, pero lo que necesitas son reglas iptables para redireccionar los puertos que vengan de la red al proxy para que tome el control el squid a traves de listas de acceso (ACL):
Esto es simplemente para poner un proxy transparente. En cualquier caso, ha de montar un proxy para hacer esto. Que luego lo quiera hacer transparente o no ya es otra historia
iptables -t nat -A PREROUTING -t tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128 (eso redirecciona las conesiones echas desde la lan dirigidas a http/https al squid).
Yo no te recomendaria usar autentificacion en el squid para que las maquinas se validen en este, si queires restringir que x estaciones no salgan, simplemente deniegalas con reglas FORWARD de iptables:
iptables -A FORWARD -s ip_a_bloquear -o eth0 -j DROP (suponiendo que eth0 es el dev que sale a inet y la fuente es la ip a bloquear pos simplemente deniega dicho trafico)
Esto solo es factible si los usuarios siempre usan las mismas maquinas. Ciertamente, veo mas elegante denegar por usuario en este caso
El 23/05/05, aux
Hombre si, con el squid puedes limitar la salida a determinadas maquinas, incluso a determinadas horas detener el trafico, pero lo que necesitas son reglas iptables para redireccionar los puertos que vengan de la red al proxy para que tome el control el squid a traves de listas de acceso (ACL):
Esto es simplemente para poner un proxy transparente. En cualquier caso, ha de montar un proxy para hacer esto. Que luego lo quiera hacer transparente o no ya es otra historia
iptables -t nat -A PREROUTING -t tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128 (eso redirecciona las conesiones echas desde la lan dirigidas a http/https al squid).
Yo no te recomendaria usar autentificacion en el squid para que las maquinas se validen en este, si queires restringir que x estaciones no salgan, simplemente deniegalas con reglas FORWARD de iptables:
iptables -A FORWARD -s ip_a_bloquear -o eth0 -j DROP (suponiendo que eth0 es el dev que sale a inet y la fuente es la ip a bloquear pos simplemente deniega dicho trafico)
Esto solo es factible si los usuarios siempre usan las mismas maquinas. Ciertamente, veo mas elegante denegar por usuario en este caso
Cierto, no me vale hacerlo por IP, por 2 razones porque internamente uso dhcp y por tanto la maquina no tiene siempre la misma ip y segundo aunque tubieran siempre la misma lo que quiero es que un usuario determinado pueda acceder desde cualquier maquina, es decir que un usuario pueda cambiar de puesto y seguir accediendo o no a internet. Investigaré lo del squid que me has pasado en el otro enlace a ver que lio. Muchas gracias por la info. Emi
El 2005-05-23 a las 14:14 +0200, aux escribió:
el dev que sale a inet y la fuente es la ip a bloquear pos simplemente deniega dicho trafico)
Esto solo es factible si los usuarios siempre usan las mismas maquinas. Ciertamente, veo mas elegante denegar por usuario en este caso
Vale, pero - yo no he usado esas cosas, o las ponían otros - ¿como hace el squid para saber que una máquina determinada ha cambiado de usuario? -- Saludos Carlos Robinson
Vale, pero - yo no he usado esas cosas, o las ponían otros - ¿como hace el squid para saber que una máquina determinada ha cambiado de usuario?
Es que en esteo caso squid no ve maquinas, sino simplemente usuarios. Cuando accedas a internet por ejemplo, te saldrá la tipica pantallita de autentificación (estilo .htaccess) y comprobará si ese usuario tiene permitido o no salir a internet.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-05-24 a las 12:43 +0200, aux escribió:
Vale, pero - yo no he usado esas cosas, o las ponían otros - ¿como hace el squid para saber que una máquina determinada ha cambiado de usuario?
Es que en esteo caso squid no ve maquinas, sino simplemente usuarios. Cuando accedas a internet por ejemplo, te saldrá la tipica pantallita de autentificación (estilo .htaccess) y comprobará si ese usuario tiene permitido o no salir a internet.
Si, eso de acuerdo. Pero el lo único que puede saber es que desde determinada IP llegan peticiones; si no lo ha hecho antes, pide login y password, pero a partir de ese momento guarda los datos, de que todo lo que venga de esa IP es de ese usuario (con un temporizador, imagino). No veo como puede saber que en un momento dado ese usuario se va y continúa otro en la misma máquina. Si el cambio de usuario es más rápido que el temporizador, no tiene manera de enterarse. Es que aunque ese cambio de usuario incluya el correspondiente login/passwd, eso es en la maquina cliente, que no tiene porqué informar a nadie de ese cambio - a no ser que tengas identd en ejecución. ¿O hay algo más, que no sé? - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFCnGmOtTMYHG2NR9URAh/wAJ0ZQxTM5w0IJnTvMDfmC9DPJ8FSbACgivSE pfN908kfEsa7vxvnfMBLK3E= =WOKr -----END PGP SIGNATURE-----
participants (4)
-
aux
-
Carlos E. R.
-
chakal^-^
-
Emiliano Sutil