Linux Administracion de Redes WiFi

Hola amigos soy nuevo en este foro y necesito algo de ayuda

Estoy haciendo un proyecto para la administracion de redes inalambricas y en el cual me piden que:

asigne 30 direcciones ip de manera dinamica

que los usuario solo tengan 2 horas de acceso al internet

obtener una lista de lo usuarios que esten conectados a la red se desea saber la direccion ip, direccion mac, y nombre del equipo.

si un usuario accesó al internet pero no se registró, se le bloqueara el internet y que no tenga acceso hasta que se registre.

restringir el acceso a ciertas paginas y no permitir el uso del msn.

de todo lo que mencione hasta la fecha lo que e podido hacer es que mediante linux version opensuse 11.3 levanto el servidor dhcp asigno un rango de direcciones solo 30 y que de el acceso al internet 2 horas. me falta lo demas de como denegar el acceso al internet a una maquina con sabiendo la direccion mac.

de ante mano muchas gracias por su ayuda y sus aportes seran de gran ayuda para mi se los agradecere infinitamente

Lo primero que se me ocurre
configura DHCP en base a MACs con un rango de ips, cual sea 192.168.x.x a 199.168.x.x

Agrega entradas de arp estaticas para las direcciones -MAC- que te haya dado el firewall (si usas), y bloquear con MACs creadas por ti todas las ips que no se estén usando. De esa manera, solo las habilitadas van a poder comunicarse con el firewall..

Obviamente, es un metodo solo de entrada, lo primero que pense, cualquiera con unos buenos conocicimientos, o incluso busca un manual de como cambiar su direccion MAC, y listo, de nuevo tiene internet.

Una curiosidad... como hiciste con lo de internet por dos horas?...


EDITO: incluso puedes hacerlo desde el router que tienen, puedes agregarle las MAC a bloquear usando filtros, di que router usas, o que implementos tienes, para poder ayudarte mejor

Otra curiosidad , por que no negarsela por IP? en Suse, harias algo como:

o
Si te preguntas cual es la diferencia de REJECT y DROP, nada mas que REJECT responde un TCP RST -siendo conexion tcp- sino un ICMP Host Unreachable

Y el Drop, no le contesta nada, entonces se termina la conexion hasta que haya pasado el tiempo de espera.

sobre lo de las dos horas lo puse en el servidor dhcp que solo dire 2 horas de servicio
y si yo levento el servidor dhcp y asigno un rango de ips que da el servidor de forma dinamica alas pc por ej. 192.168.x.x a 192.168.x.x

y muestro en la consola mi tabla arp con el conamdo arp -v y me muestra los que estan conectados a la red pero y como ya abia mencionado antes yo deseo denegar el acceso a algunas personas que talves se este colgando de la red o que no yo conosca y por eso desearia denegar por las mac aunque como tu dices se le puede cambiar la mac a las maquinas pero en el lugar donde yo estoy la gente no tiene mucho conocimiento de como hacerlo.

y en base alo de la iptables si e checado algo sobre eso pero no le entiendo muy bien como denegaria el acceso a una mac usando las iptables o como configuro el firewall de hecho lo tengo configurado,
tambien eh estado checando el firewall bastion-firewall pero no se como usarlo o configurarlo dicho firewall trae listas blancas y listas negras ademas de otras opciones cuando levanto el firewal lo activo con el comando /etc/init.d/bastion-firewall start pero lo que pasas es que al momento de instalarlo el otro firewall que trea suse se detiene y me quita el acceso al internet en la maquina y al igual no da acceso al interner inalambrico a las dems maquinas por lo mismo que no se configurarlo

y muxhas gracias por tu ayuda brother

-------------------------------------------------------------------------------------------------------

sobre lo de las dos horas lo puse en el servidor dhcp que solo dire 2 horas de servicio
y si yo levento el servidor dhcp y asigno un rango de ips que da el servidor de forma dinamica alas pc por ej. 192.168.x.x a 192.168.x.x

y muestro en la consola mi tabla arp con el conamdo arp -v y me muestra los que estan conectados a la red pero y como ya abia mencionado antes yo deseo denegar el acceso a algunas personas que talves se este colgando de la red o que no yo conosca y por eso desearia denegar por las mac aunque como tu dices se le puede cambiar la mac a las maquinas pero en el lugar donde yo estoy la gente no tiene mucho conocimiento de como hacerlo.

y en base alo de la iptables si e checado algo sobre eso pero no le entiendo muy bien como denegaria el acceso a una mac usando las iptables o como configuro el firewall de hecho lo tengo configurado,
tambien eh estado checando el firewall bastion-firewall pero no se como usarlo o configurarlo dicho firewall trae listas blancas y listas negras ademas de otras opciones cuando levanto el firewal lo activo con el comando /etc/init.d/bastion-firewall start pero lo que pasas es que al momento de instalarlo el otro firewall que trea suse se detiene y me quita el acceso al internet en la maquina y al igual no da acceso al interner inalambrico a las dems maquinas por lo mismo que no se configurarlo

y muxhas gracias por tu ayuda brother

Hola, disculpa la demora en responderte, si ya entendi como lo del acceso por dos horas, jajaja muy ingenioso, no lo habia pensado asi

Por otro lado, te decia que permitas o denieges rangos de IP, con el iptables, que se hace mucho mas facil.... La verdad, es aun mas recomendable que los MAC, para mi obviamente... Pero a ver..

Asi, bloqueas una MAC, con el iptables, como te dije anteriormente el mismo codigo para las ips, que podias bloquear rangos...

Aunque ciertamente como veras, tendras que agregar todas las MAC a bloquear, si es loo que entendi, porque de momento no se me ocurre como usar una regla, para que bloqueee todas menos las que tu autorices.


A menos que hagas algo como esto:

Y listo, asi deberia -creo funcionarte-, slo aceptas las direcciones que deseas darles acceso.


Suerte,


Edito: no he usado bastion-firewall, la verdad es que utilizo iptables -cavernicola- y si requiere mucha mas complejidad utilizo IPfire, aqui, pero te recomiendo la verdad, hacerlo simple, iptables.

Ah! y casi lo olvidaba... Cambia Suse, jajajajaja usa mejor Gentoo ;)

de echo ya le e intentado con las iptables pero no me sale le pongo ese comando para denegarle el accesso al internet a una maquina pero aun asi la maquina sigue teniendo internet si seria mas viable por la ip pero en este caso si necesito bloquear por la MAC y caul es la diferencia entre INPUT Y FORWARD

gracias por responder men y gracias por el codigo de las iptables voy intentarlo de nuevo al igual utilizo el webmin y desearia usar el squid pero no se como usarlo si tu sabes igual agradeceria tu ayuda brother

de echo ya le e intentado con las iptables pero no me sale le pongo ese comando para denegarle el accesso al internet a una maquina pero aun asi la maquina sigue teniendo internet si seria mas viable por la ip pero en este caso si necesito bloquear por la MAC y caul es la diferencia entre INPUT Y FORWARD

gracias por responder men y gracias por el codigo de las iptables voy intentarlo de nuevo al igual utilizo el webmin y desearia usar el squid pero no se como usarlo si tu sabes igual agradeceria tu ayuda brother

O tambien no sabrias como bloquear el uso del msn

el uso del msn no se puede bloquear por puertos directamente en el router??

Un saludo.

Si, si se puede y tambien por iptables haciendo justamente lo mismo IP y puerto de conexion de MSN. Por otro lado, no se si he entendido mal, pero si viene un listo y dice que se conecta por proxy? Que pasaria?

Pues si alguien usa un proxy pues si permitiria entrar al msn y si e intentado hacerlo mediante iptables o con squid pero el uso de las iptables para dengar el acceso con las MAC no me funciona, yl el squid no se usarlo, tambien e leido que el msn se conecta por varios puerto o depende de la version es como se conecta y por eso no se como bloquearlo, tambien me hace falta denegar el acceso a ciertos sitios como metroflog, o a las redes sociales no se si exista una aplicacion e linux que permita hacer eso, a la fecha tambien e usado el nmap con su interfaz grafica que es el zenmap para ver los usuarios que estan conectados a la red

Amigo, te dire algo, dime primero que router tienes en la empresa y muestrame un diagrama de la conexion que tienes y a continuacion vemos como se te puede ayudar mejor.

Tal vez y el router te permita bloqueo de aplicaciones y tu te estes matando... Cuando puedas escribes los datos y lo vemos...