Problemi log off da squid o captive portal



  • Prima di tutto un saluto alla comunità.
    Sono un newbe esagerato però mi impegno per quel che sono i miei limiti.
    Ho scoperto pfsense da una settimana circa ed è stato un 24/7 di lettura del forum.
    Il problema è comune a molti: devo effettuare una specie di hotspot con 6 desktop fissi di proprietà + eventuali persone con portatili in una sala pubblica, sono postazioni gratis e non c'è limite di tempo.

    Ci sono quasi ma mi manca l'ultimo tassello.
    la configurazione:
    wan:dhcp
    lan:192.168.0.251
    package: squid+lightsquid+squidguard

    Se scelgo la configurazione
    Captive Portal +Squid (trasparente) + lightsquid
    tutto funziona ma ho un problema "tecnico".
    Attivando il popup di autenticazione succede che alcuni clienti alla fine vanno via e non usino il tasto disconnetti del popup oppure lo chiudono dalla X in alto a destra. Il cliente successivo purtroppo … continua a navigare con lo user e password precedente.
    Dal pc del proprietario (dal banco) può disconnetterlo dalla pagina di pfsense ma non si può stare appresso a tutti quelli che vanno via e controllare 6 pc.
    Se metto come pagine di avvio del browser http://mioip:8000 si riapre il login ma se il cliente2 (appena arrivato dopo il cliente1) mette la sua password entra anch'esso e naviga. Nel log cliente1 è ancora connesso e non si è mai disconnesso e quindi risulta cliente1 e cliente2 entrambi loggati in quel pc.
    Va da sè che per essere in regola per la legge questo è assai sbagliato non sapendo poi dal log chi effettivamente è al pc, cliente1 o cliente2?

    Se rinuncio a Captive Portal e faccio fare tutto a squid devo togliere la modalità trasparente e loggare con squid stesso.
    Funziona meglio perchè per terminare la sessione basta chiudere il browser e al riavvio di esso ti richiede il login.
    Ma sorge il problema che devo inserire il proxy nei browser. Nessun problema a farlo ma essendoci forti limitazioni sui siti navigabili c'è sempre il solito furbone che installa un altro browser oppure rimuove il settaggio del proxy dal browser e.... grrrrrr.. naviga senza nessun limite e senza finire del log.
    Se posso impedire la modifica della configurazione dei browser dei proxy sui 6 pc va da sè che non posso pretendere di imporre il proxy fisso sui portatili.

    Ci vorrebbe una regola di firewall che impedisse, nella modalità squid non trasparente, di navigare a chi non è loggato da squid stesso.

    Purtroppo non sono in grado di costruire tale regola e chiedo aiuto per risolvere tale problema.

    Grazie anticipate



  • nella configurazione del captive portal c'è un 'Idle timeout'. Non basta impostare quello correttamente?



  • grazie per la risposta, ho provato l'idle time-out ma sembra avere effetto solo se mi disconnetto dalla rete.
    Se anche chiudo i browser e lascio il pc inattivo la sessione dell'utente resta attiva infatti riapro il browser e riconmincio a navigare tranquillamente anche dopo molto tempo.

    le possibili soluzioni sono essenzialmente 4

    1. utilizzare squid con autenticazione propria e non far navigare i client con i browser senza il proxy
    2. con captive portal, rifar apparire la finestra popup di logout erroneamente chiusa e disconnettersi
    3. Intendere la fine sessione come disconnessione dalla rete e attendere il tempo di idle (un minuto)
    4. Dire al gestore: "ho finito, disconnettimi tu" dal banco.

    La 1) e la 2) non sono in grado di impostarle.
    la 3) insomma non è il massimo
    la 4) ci vuole una persona fissa al banco

    Poi ho scoperto un'altra incongruenza di captive portal: il redirect funziona solo la prima volta, se ti disconnetti dalla rete non funziona piu, devi riavviare captive portal o far aprire all'utente la pagina http://mioip:8000

    Insomma una chiavica….



  • Ciao. Al momento ho pfsense in test, non ho utilizzato tutte le funzioni in modo intensivo.

    Mi sorge una domanda: ma i client di proprietà, sono alla portata di tutto e di tutti con le modifiche che vogliono fare? Questo mi pare un grosso errore. Che client sono?

    Per quanto riguarda invece i client che si connettono al momento non ho ancora studiato la cosa. Mi interessa ma al momento non ho avuto occasione di buttarmici.



  • Ciao,
    per il tuo problema penso basti andare nelle regole del firewall, sotto LAN e mettere una regola che blocchi la porta 80.
    Solo con squid NON in trasparent mode e senza captive portal.
    Così chi non ha il proxy settato e con la password fornita da te non può andare su internet.

    Fammi sapere,

    andrea



  • Porta 80 bloccata, ha funzionato! grazie


Locked