Portail captif : importer bcp de MAC adresses



  • Bonjour
    J'ai besoin d'importer 120 adresses Mac + hostnames dans le  le portail captif pour mes MAC autorisés à passer à travers l'authentification
    Existe t-il une astuce pour les récupérer dans les leases  dhcp ou faut-il se les pelucher une à une à la main?
    Merci.



  • Vu le très faible niveau de sécurité fourni pas le filtrage à base d'adresses mac vous pouvez laisser ouvert. Cela vous évitera de vous "palucher" (et non pelucher) les 120 adresses à la main pour rien. Après si vous y tenez et si vous savez écrire un peu en xml …. Un backup, quelques modifications et un restore.



  • Merci pour votre réponse bien utile.
    Ce que je cherche, c'est un moyen simple de filter certains "clients" situés dans le lan afin de leur bloquer l'accès web et les rediriger de force vers une page d'accueil (page d'authentification) pour leur passer un message écrit.
    L'usage du "Mac Passthrough" est sympa car il dispose d'une fonction "pass" ou "block".
    A contrario, le choix "Ip allowed" ne dispose pas de choix de type "dissable" ou "enable".
    Du coup, si tu veux bloquer une Ip pour l'envoyer vers la page d'authentification, tu l'enlèves de "ip allowed"
    Mais après, pour rétablir son accès, tu dois la ré-écrire.

    Si vous avez une meilleure idée, elle sera la bienvenue.
    Cdlt.
    JM



  • Ce que je cherche, c'est un moyen simple de filtrer certains "clients" situés dans le lan afin de leur bloquer l'accès web et les rediriger de force vers une page d'accueil (page d'authentification) pour leur passer un message écrit.

    La seule solution consisté à réaliser une authentification utilisateur login / mot de passe (au minimum). Tout le reste (adresse ip, adresse mac) ne permet pas d'identifier un utilisateur, ni même, de façon fiable, une machine. Vous confondez les problèmes et les solutions.
    L'utilisateur qui souhaite contourner vos méthodes comprendra bien vite qu'en changeant de machine, il fait ce qu'il veut. D'autres, mieux dotés techniquement auront vite fait de comprendre vos méthodes. Alors les possibilités sont vastes : http://www.wikihow.com/Change-a-Computer's-Mac-Address-in-Windows
    Si vos utilisateurs appartiennent à l'entreprise la solution se trouve du côté d'un proxy avec authentification. Dans le cas contraire (utilisateurs ponctuels, de passage, etc … mais alors que font ils dans le lan ??) le portail captif est une solution possible qui n'exclue pas le proxy pour d'autres raisons.
    Tout cela est fort brouillon et manque d'une conception d'ensemble pour traiter un besoin dont l’énoncé en termes fonctionnels fait défaut.



  • @ccnet:

    Ce que je cherche, c'est un moyen simple de filtrer certains "clients" situés dans le lan afin de leur bloquer l'accès web et les rediriger de force vers une page d'accueil (page d'authentification) pour leur passer un message écrit.

    La seule solution consisté à réaliser une authentification utilisateur login / mot de passe (au minimum). Tout le reste (adresse ip, adresse mac) ne permet pas d'identifier un utilisateur, ni même, de façon fiable, une machine.

    +1  pour identifier un utilisateur, le seul moyen c'est qu'il s'authentifie.
    De plus, pour voir ce à quoi il accède en HTTP, il n'y a que le proxy  ;)



  • Re- et merci pour votre intérêt.

    Je pense avoir trouvé.
    Mais je reprécise mon problème que j'ai dû mal présenter (j'ai relu vos recommandations).
    Il s'agit d'un réseau wifi communautaire: 110 utilisateurs qui doivent payer leur cotisation tous les 6 mois.
    Mais voilà, ya des mauvais payeurs qu'on veut bloquer.
    L'idéal serait qu'à la connexion, ils soient redirigés vers une page web indiquant: vous etes bloqués, veuillez contacter le trésorier et envoyer votre chèque. (c'est une association)

    Ma structure: Pfsense en tête de réseau.
    Interface wan sur la fibre
    Interface lan: 110 utilisateurs dispersés en wifi dans la campagne.
    Tous ont une ip privée (dhcp verrouillé à la MAC) + nat 1:1 ip publique.

    Ma solution: (mais il y a peut être mieux)
    Portail captif sur le lan.
    MAC adress de tous les points d'accès listés dans le Portail.
    Configuration de "redirect vers URL" si une adress MAC est bloquée.
    Cette URL correspond à une page web externe sur laquelle est écrit "vous avez pas payé, c'est pas bien …etc envoyez votre chèque au trésorier"

    Le fonctionnement:
    Au moment de percevoir les cotisations semestrielles, le trésorier active le portail captif.
    Il coche en "block" les MAC des gens qui n'ont pas payé.
    Du coup, ils sont automatiquement redirigés vers la page "vous avez pas payé, c'est pas bien ..."

    Y-a t-il une solution plus mieux bien ?
    Et merci encore pour votre attention.
    Jean-Marc.



  • De l'intérêt de commencer par présenter les choses en terme de besoins fonctionnels d'abord et non de solutions techniques.
    Nous vous avons tout dit maintenant c'est vous le patron, vous faites comme vous voulez. Si vous voulez vous accrocher à votre solution d'adresses mac je n'y vois pas d’inconvénient. Ce ne sera pas à moi de gérer les ennuis.



  • Je ne sais pas si il y a une solution "mieux" car cette notion de mieux dépend de beaucoup de paramètres mais il y a d'autres approches possibles.

    Juste un exemple de ce que je considère comme définitivement mieux:

    • si les utilisateurs sont nominativement connus et donc avec un compte pour s'authentifier, ce qui me semble un minimum dans cet environnement, il est assez simple de mettre en place un filtrage, au niveau du proxy HTTP, pour que les utilisateurs d'un groupe (LDAP) particulier soient bloqués.

    Il suffit alors de gérer 2 groupes dans LDAP:

    • les utilisateurs à jour de leur cotisation
    • les utilisateurs en retard

    d’autoriser les utilisateurs "à jour"  et de bloquer les utilisateurs "en retard".

    Pratiquement, comment faire ça ?

    • soit en gérant du simple "group membership" mais ce n'est ni élégant ni efficace
    • soit en maintenant, pour chaque utilisateur, un ou plusieurs attributs LDAP relatifs à la cotisation et en créant des groupes dynamiques basés sur l'attribut qui dit "a payé".
      Il est alors même possible de gérer une date de payement ou d'échéance et de se baser dessus pour envoyer des warning  ;)

    Avec SquidGuard, le profiling par groupe permet, dans SquidGuard, de définir une redirection particulière pour l'ACL associée à ce groupe, et donc de personnaliser la page d'erreur  8)

    C'est une amorce d'identity management qui permet d'associer le service à un utilisateur et non plus à une machine. D’ailleurs, comment ça se passe avec l'utilisateur qui  plusieurs devices (son ou ses laptop, son smartphone etc…) ?

    Sauf cas très particuliers, les tâches administratives qui s'appuient sur l'adresse IP ou l'adresse MAC, c'est une fausse bonne idée  :P
    Une fois cette notion acquise, il faut en effet chercher d'autres solutions fiables.

    (EDIT: typos)


Log in to reply