Hola, tengo una red montada con varios ordenadores, en cada uno de ellos hay creadas dos cuentas de usuario, mi pregunta es si se podria de alguna manera, limitar el acceso a internet a uno de ellos pero no a la red, vamos, que uno pudiese navegar y el otro no, no soy muy bueno dando explicaciones jeje. Muchas gracias de antemano, saludos!
si lo que quieres es bloquear todo el acceso a un cliente.. a internet me refiero, colocale un proxy falso en la configuracion de internet explorer.. hay soluciones de pago para esto pero bueno ahora mismo no se me ocurren
Cada usuario tendra una configuracion distinta de internet no? O al que yo quiero permitir el acceso tampoco podra entrar? Perdon por mi ignorancia. Saludos y muchas gracias CamPi
Si.. las preferencias de internet explorer son por usuario no por equipo
En el servidor:
iptables -t filter -N EQUIPO_A
iptables -t filter -N EQUIPO_B
iptables -t filter -A FORWARD -s 192.168.0.1 -j EQUIPO_A
iptables -t filter -A FORWARD -s 192.168.0.2 -j EQUIPO_B
Con esto hacemos que haya dos cadenas en el firewall del servidor, una para el equipo A (con IP 192.168.0.1) y otra para el equipo B (con IP 192.168.0.2).
Instálale un cliente ssh a tus clientes Windows XP y pon en la clave:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
un nuevo valor alfanumérico que diga:
ssh root@192.168.0.250 /usr/local/sbin/permitir_A
en caso de ser el usuario "autorizado" y
ssh root@192.168.0.250 /usr/local/sbin/denegar_A
en caso de ser el usuario "desautorizado".
permitir_A:
#!/bin/bash
iptables -t nat -F EQUIPO_A
iptables -t nat -A EQUIPO_A -j ACCEPT
denegar_A:
#!/bin/bash
iptables -t nat -F EQUIPO_A
iptables -t nat -A EQUIPO_A -j DROP
Con eso limpiarás la cadena EQUIPO_A (o EQUIPO_B) para que el firewall no filtre los paquetes del equipo, o bien le añadirá una regla que filtrará (DROP) todos los paquetes recibidos por el equipo en caso de haber arrancado el cliente sin privilegios para navegar.
Date cuenta que la limitación es a nivel de equipo, de modo que no podrás entrar al equipo con los dos usuarios a la vez y hacer que uno navegue y el otro no, para eso deberías usar el "truco" que te han comentado del proxy del navegador, aunque eso no evitará que usen MSN, FTP, eMule, bittorrent, etc..
Para que no te pida la contraseña de root el comando ssh, deberás generar en el cliente una clave que luego permitirás en el servidor:
ssh-keygen -t rsa -b 2048
luego añades el contenido de la clave .pub (pública) al archivo /root/.ssh/authorized_keys2 del servidor
Posteriormente podemos editarlo para ponerle un:
from="192.168.0.1",command="/usr/local/sbin/permitir_A",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-dss ....
from="192.168.0.1",command="/usr/local/sbin/denegar_A",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-dss ....
para evitar que el cliente pueda entrar al sistema como "root" sin contraseña (si nos encontramos con un usuario "avanzado" y avispado :) o lo use para redirigir conexiones (establecer túneles) a donde quiera, etc...
Un saludo.
Vale, ahora planteatelo desde el punto de vista de que no tiene linux o un sistema basado en *nix.
Diría que sería lo siguiente, suponiendo que el rango de red local sea 192.168.1.0/24 y la puerta de enlace 192.168.1.1:
Route -p add 0.0.0.0 mask 0.0.0.0 192.168.1.254
Route -p add 192.168.1.0 mask 255.255.255.0 192.168.1.1
Eso es todo. Con eso, el PC en el que lo hayas ejecutado no saldrá a Internet (si es que no usas Proxy).
La cosa es que configuras 192.168.1.254 (una IP de pasarela inventada) para todas las direcciones de red.
Luego configuras una pasarela válida (192.168.1.1) para la red 192.168.1.0/24
Edito: Esto es para ejecutarlo en el PC cliente al que se quiere capar la salida.
Saludos
Ojo, porque metes rutas estáticas y capa toda la máquina, no un usuario en concreto, que es lo que quiere.
Te puede valer si las ejecutas al inicio del usuario (siempre y cuando tenga privilegios para agregar rutas el usuario), de todas formas, al igual que los tiene para agregarlas, los tendría para quitarlas.
route es a nivel maquina no ?.. el quiere un bloqueo a nivel usuario
Sip, pero así bloqueas el acceso de la maquina local.
Chao.
