Christopher, Porque tu não usa dot1x (802.1X) ?
Primeiramente tua infra de rede deve suportar 802.1X (hoje em dia uma boa parte dos switchs e AP já suportam pois é um padrão IEEE). Neste caso o FreeBSD funcionaria apenas como RADIUS Server e a autorização de acesso a rede ficaria por responsabilidade dos switchs e do AP que liberaria este acesso mediante apenas uma autenticação positiva do RADIUS (caso contrario, porta do switch fica down, no caso do ap o acesso não é permitido/roteado). Caso tua infra seja de switchs/ap cisco tu pode ate implementar VLAN Guest (uma rede a parte para que os usuarios não autenticados acessem com mais restrições), pois outras tecnologias não implementão ainda esta feature. Da para fazer algumas coisas mais legais do tipo uma "semi-police-compliance" nos pcs antes de acessarem a rede em vlan guest e/ou quarentena, verificando se a maquina esta infectada com algum virus, patchs atualizados, etc etc etc (isso envolve desenvolvimento), desenvolver alguma integração com o NAC (Network Admission Center) da Cisco (caso seja ambiente cisco), entre outras cositas mais... :) Resumindo, vc tem accounting, autorização e autenticação feito pelo Radius (em BSD), acredito que voce não va precisar que alguem autentique num site sendo que o controle ja esta sendo feito diretamente na porta do switch e/ou no AP, mas caso precise, o que voce pode fazer é o seguinte, criar uma Vlan de quarentena para que os usuarios acessem teu site e se autentique, logo apos a autenticação, um script pode acessar o switch e trocar a porta de vlan para uma vlan de produção qualquer onde ele tenha acesso as ferramentas de trabalho necessarias, isso envolveria um pouco de desenvolvimento! Legal que o FreeBSD suporta trunk dot1q (802.1q), portanto voce pode trabalhar ele para que seja um Firewall Subnetado fazendo com que todas suas VLANs sejam roteadas atraves dele tendo o controle total da rede. É isto... Att, Luiz Zanardo On 2/9/06, Christopher Giese - iRapida Telecom <[EMAIL PROTECTED]> wrote: > > Bom dia Senhores...... > > estou iniciando algumas pesquisas para implementacao de um projeto...... > e gostaria de saber se alguem ai ja trabalhou com algo parecido > > A ideia seria o seguinte..... > > Micros (clientes windows)....... com seus ips....... que possuem em > algum lugar (nao necessariamente o next-hope) um Gateway FreeBSD...... > Isto nao numa rede Wireless... e sim num rede interna.... de empresa > mesmo...... > > A ideia eh que o micros windows (usuarios) quando forem usufruir da > rede..... precisem se logar via WEB.... ai o firewall libera a conexao > para tais ips (isto baseado em algum banco de dados ou algo do > genero).......... e se nao se logar..... nao acessa nada > > nao me refiro apenas a proxy.... (a ideia eh nao ter proxy mesmo)..... > me refiro a um mero metodo de autenticacao... que avalia se o usuario > pode ou nao usar o sistema... e ai libera conexoes de firewall (em todas > as portas).... > > alguem ai ja utilizou algo assim para uma rede interna ???? alguma dica > ????? > > houvi falar no nocat..... mas o que li foi para linux... e para > wifi......... > > alguma experiencia ???? > > falou ae > > -- > []´s > Christopher Giese > System Network Security Administrator - iRapida Telecom > [EMAIL PROTECTED] - +55 44 36194444 > > "O futuro nada mais é que sonhos, projetos, esperanças que só serão > possíveis se o hoje assim decidir. > Nada mais temos neste mundo senão o exatamente agora." > > > _______________________________________________ > freebsd mailing list > freebsd@fug.com.br > http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br > _______________________________________________ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
