=>-----Mensaje original----- =>De: Roy Frances González [mailto:roy.frances@gal.sld.cu] =>Enviado el: viernes, 09 de febrero de 2018 01:11 p.m. =>Para: gutl-l(a)listas.jovenclub.cu =>Asunto: [Gutl-l] Filtrado para navegacion => =>Buenas a todos. => =>Necesito saber como implementar una politica para dar acceso a Internet =>filtrando las MAC contra usuarios. Quiero decir que cada usuario tenga =>acceso solamente por un dispositivo registrado ya sea una laptop o un =>celular si en este caso usara mi conexion wifi interna. => =>Saludos cordiales => => =>Roy Frances González => =>Administrador de Red => =>Hospital Provincial de Cienfuegos. => =>Telef: 43518154 => => =>-- =>Este mensaje le ha llegado mediante el servicio de correo electronico =>que ofrece Infomed para respaldar el cumplimiento de las misiones del =>Sistema Nacional de Salud. La persona que envia este correo asume el =>compromiso de usar el servicio a tales fines y cumplir con las =>regulaciones establecidas => =>Infomed: http://www.sld.cu/ =>_______________________________________________ =>Gutl-l mailing list -- gutl-l(a)listas.jovenclub.cu =>To unsubscribe send an email to gutl-l-leave(a)listas.jovenclub.cu Suponiendo que uses SQUID como proxy para esos menesteres, te tengo la mala notica que SQUID solo hace soporte de MAC a través de ARP (de ahí las acl tipo arp) siempre y cuando los clientes estén en su misma red. (Ver documentación adjunta de SQUID sobre acl de tipo arp). Así que la única forma viable que veo es que en tu AP tengas el mismísimo SQUID o que de alguna forma mágica puedas llevar la MAC hasta el squid. Ahora vías alternativas para solucionar este problemilla. 1.- Puedes crear reglas IP + Usuario que si funcionan sin ningún problema. La nota discordante aquí es que como sabes (aún en una wifi) el IP puede ser fijado de forma manual (no es lo común pero si funciona) y por tanto alguien puede hacerse pasar por otro. El punto a favor es que se utiliza la autenticación por usuario y ahí si no hay trueque porque, se lo diste a otra persona o te "cojieron" la contraseña. 2.- No sé hasta qué punto la autenticación de portal cautivo pueda generar un token y este ser pasado a squid, así solo crearías reglas para dichos token y la autenticación de usuarios. 3.- Crear tu propio script de validación de conexión (Ver documentación de squid para atutenticar con programas externos) donde a cada cliente le instalas o generas un certificado de seguridad (que solo funcionaría en esa PC con ese IP) y lo que deberías chequear es contra esos certificados. Si, yo se que parece de locos pero en teoría es la contra-mega-super-protección del copón divino, siempre y cuando nadie te parta en 2 ese certificado. Mi sugerencia: Usar la variante 1 y que si ocurre algo el usuario firmó un "papelito" con nombre código de ética donde se le designa la responsabilidad que todo lo que se registre con ese usuario es su responsabilidad. Nota: Me gustaría un mundo que si alguien tiene implementado la 3ra lo comparta. Mientras aparezca la indicada, goza con la equivocada =================================================== Linux User Register #623704 https://www.linuxcounter.net/cert/623704.png Salu2 -- Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas Infomed: http://www.sld.cu/