Koozali.org: home of the SME Server
Other Languages => Español => Topic started by: wpanessi on July 11, 2008, 01:32:12 AM
-
Tengo un servidor SME 7 configurado como server & gateway y necesito que algunas PCs de la red no puedan salir a Internet. Hasta ahora lo he hecho con Restrict-IP (una contrib) pero tengo un usuario que cambia la ip para poder salir usando una de otra máquina que si tiene permisos (con todos los problemas que esto trae). Me gustaría entonces dar permisos o denegar pero usando la MAC Address de la placa de red. ¿Alguien sabe como hacer esto?.
Gracias !!
-
Supongo que utiliza la ip cuando el otro equipo no se encuentra en funcionamiento, o sea en horarios no laborales así que podrias intentar restringir el acceso por horario.
-
Gracias Calimenio por tu respuesta. Ya intenté eso, pero utiliza la IP de una notebook que se conecta de vez en cuando. Lo que realmente me serviría es habilitar por MAC Address.
-
Les cuento que logré incorporar la restricción agregando la regla con IPTABLE de esta manera :
sbin/iptables -I PREROUTING -t nat -j DROP -m mac --mac-source 00:15:F2:CE:5C:1A -p tcp --dport 80
Donde 00:15:F2:CE:5C:1A es la MAC Address de la computadora en cuestión.
-
Gracias Calimenio por tu respuesta. Ya intenté eso, pero utiliza la IP de una notebook que se conecta de vez en cuando. Lo que realmente me serviría es habilitar por MAC Address.
La MAC Address también se cambia desde el mismo SO...
Desconozco si hay una solución mejor. De cualquier manera, en el próximo post-upgrade perderás los cambios realizados en iptables.
La única solución es que instales dansguardian y habilites internet por contraseña. Mira en el wiki:
http://wiki.contribs.org/Dansguardian
-
Gracias Normando.
Si, he comprobado lo que desis. Efectivamente en el post-upgrade se pierden los cambios.
Primero, una solución al cambio de MAC por SO es denegar todas las salidas y solo habilitar las que pueden salir con lo cual debería "copiar" la MAC address de alguna de las máquinas con permisos. A pesar de ello, sigue siendo válido el tema que el cambio sobre IPTables no es permanente. Se me ocurrió entonces modificar a mano algún template para que en cada post-upgrade se vuelvan a poner las mismas reglas. Lo que no se aún es cual template tocar.
-
No, no toques ningún template, sino cópialo desde templates a templates-custom y modifícalo alli. Si algo sale mal, solo deber borrarlo y reiniciar el servicio para que todo vuelva a la normalidad. Además si tocas el template directamente tendrás problemas en futuras actualizaciones.
Yo creo que debería dejar todo como esta, ey leer completo el artículo de dansguardian, el cual puede configurarse para que requiera autenticación por parte de quiénes deseen acceder a internet por medio del SME.
PD: Debería leer el manual de desarrollo del SME para comprender cómo opera o funciona cada parte, especialmente el tema de las templates.
-
Te agrezco tu consejo Normando y voy a hacer lo que me recomendas. Verdaderamente no estaba convencido que modificar templates era una buena opción. Si bien nunca leí el manual que recomendás, soy usuario de SME hace tiempo ya y mas o menos me imagino como funciona con lo cual no me tentaba para nada hacer eso. Voy a intentar con el dansguardian. Muchas Gracias.
-
Normando, me quedó una duda... Como obtengo DansGuardians. Con yum no se puede porque no está en el repositorio. Miré en la página web y me da un monton de distribuciones distintas para bajar pero SME no está.
-
Normando, me quedó una duda... Como obtengo DansGuardians. Con yum no se puede porque no está en el repositorio. Miré en la página web y me da un monton de distribuciones distintas para bajar pero SME no está.
Si tienes SME 7.3 actualizado solo debes ejecutar esto en la consola:
yum --enablerepo=smecontribs install smeserver-dansguardian tal como menciona en el wiki http://wiki.contribs.org/Dansguardian#Installation_instructions
-
Ok, entonces no lo debo tener actualizado.
Gracias