Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

blacklist e captive portal

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Sab Set 29, 2007 11:06 pm    Oggetto: blacklist e captive portal Rispondi citando

Ciao Fulvio

Volevo suggerirti una possibile implementazione da inserire in una prossima versione di ZS.

Spiego brevemente il problema. Ho utilizzato ZS con l'aggiunta di squid,clamav,p3scan e ftp-proxy per la gestione degli accessi wireless ad una manifestazione sportiva. Ieri mi avvertono che non è più possibile mandare mail. Faccio qualche verifica e mi rendo conto che le 2 linee adsl sono finite in black list come spammer. nomerofunn e uceprotecl3 mi riportano che nelle ultime ore ho inviato in totale dalle 2 linee circa 90000 mail.
Faccio una verifica nei log di p3scan, del captive portal e del conn tracking e risalogo all'utente che ha generato il problema.
Il computer apparteneva alla honda quindi non mi hanno fatto vedere cosa ci fosse sopra ma dai log di clamav non mandava virus e quindi p3scan non mi bloccava l'invio.

In questo momento non mi viene in mente un modo per risolvere il problema.

Resta il fatto che i giornalisti hanno dovuto inviare le mail tramite webmail e non tramite i client di posta (prima avevo reindirizzato i server smtp impostati sul client sull'indirizzo del server del fornitore adsl)

Alla fine della gara ho avuto anche problemi con il captive portal.
Quando finita la premiazione giornalisti e fotografi si sono loggati tutti contemporaneamente il captive è andato in crash. da console visualizzando il carico del pc con il comando top mi comparivano solo processi i autenticazione, la cpu era al 100% e vi erano una marea di processi zombi.
Ho dovuto riavviare il pc per riottenere un accesso ad internet regolare.
Il pc è un dual core 2Ghz con un Gb di ram ecc (che in effetti era sottoutilizzata).

Alla fine del gioco ho creato 150 utenti esterni e 30 utenti di servizio con autorizzazione free.

Ho notato che non funziona l'autorizzazione free con l'accoppiata mac + ip.
Avevo dei client di servizio dietro un wireless client (sulla stesso trocone di rete vi erano utenze non di servizio). I pc connessi dietro un wireless client si presentano tutti con lo stesso mac. Volevo quindi autorizzarli utilizzando il mac del Wir cl. + l'ip fisso assegnato ma non funzionava. Gli Ap sparsi in giro su un'area di 800x70 mt erano in wds con piu' mac configurati in modo da poter sopperire alla rottura di un apparato. (Gli ap supportano sia l'802.1d Spanning Tree sia il wireless client isolation).

Sono soddisfatto su come ZS si sia comportato in questa prova sul campo nonostante qualche si sia presentato qualche piccolo intoppo. Avevo testato la configurazione per circa 1 mese in ambiente di produzione ma con 10 client.

Ciao Grazie ancora.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Set 30, 2007 10:14 am    Oggetto: Re: blacklist e captive portal Rispondi citando

giancagianca ha scritto:

Alla fine della gara ho avuto anche problemi con il captive portal.
Quando finita la premiazione giornalisti e fotografi si sono loggati tutti contemporaneamente il captive è andato in crash. da console visualizzando il carico del pc con il comando top mi comparivano solo processi i autenticazione, la cpu era al 100% e vi erano una marea di processi zombi.
Ho dovuto riavviare il pc per riottenere un accesso ad internet regolare.
Il pc è un dual core 2Ghz con un Gb di ram ecc (che in effetti era sottoutilizzata).
Alla fine del gioco ho creato 150 utenti esterni e 30 utenti di servizio con autorizzazione free.

Questo tipo di proplemi legati alla scalabilità di un sistema di captive portal, sono descritti nella FAQ http://www.zeroshell.net/faq/wifi/#wifi.faq10 di cui riporto la parte che interessa:
Citazione:

Nota (*): si potrebbe facilmente cadere nell'errore, di considerare il carico di lavoro del server di web login molto inferiore di quello di un gateway, visto che il primo, dovrebbe soltanto fornire una pagina web di autenticazione e, successivamente, convalidare l'accesso in rete dell'utente. Apparentemente è un lavoro da poco. Tuttavia, le cose non vanno proprio in questo modo. Molti software, soprattutto quelli utilizzanti tecniche p2p, fanno un uso non standard delle porte TCP 80 e 443 nel tentativo di superare ad ogni costo eventuali firewall. Quale amministratore di rete, infatti, potrebbe mai chiudere in uscita le porte, su cui per default, è incapsulato il traffico del WWW? quasi sicuramente nessuno. Un esempio di tali software è Skype, il ben noto e più diffuso sistema di fonia VoIP: dopo aver tentato la connessione utilizzando come destinazione diverse porte TCP nel range 1-65535, tenta usando la porta 443 (https) e, se anche su questa dovesse fallirvi, utilizza la porta 80 (http). La procedura viene poi reiterata se anche quest'ultima non dà esito positivo. Il captive gateway, che non sa a priori che a generare traffico su tali porte non è un normale web browser, ma bensì Skype, forwarda comunque le richieste all'authentication server, il quale, a sua volta, inizialmente ignaro del fatto che non si tratta del protocollo http, è costretto ad elaborarle. La soluzione a questo problema, potrebbe essere quella di adottare sui gateway un firewall in layer 5, ovvero dei filtri sul contenuto trasportato nei pacchetti TCP, in modo tale da forwardare solamente quelle richieste che utilizzino realmente il protocollo http. ZeroShell non implementa tale caratteristica.


Cercherò come suggerito dalla FAQ di utilizzare i filtri Layer 7 per porre rimedio al problema quanto prima, facendo arrivare al captive portal soltanto le richieste sulla porta 80 tcp che effettivamente contengano traffico HTTP. Purtroppo sulla porta 443 non posso fare molto visto che in questo caso il traffico è incapsulato e criptato con SSL/TLS e quindi gli L7 filter non sono in grado di guardarci all'interno.

giancagianca ha scritto:

Ho notato che non funziona l'autorizzazione free con l'accoppiata mac + ip.
Avevo dei client di servizio dietro un wireless client (sulla stesso trocone di rete vi erano utenze non di servizio). I pc connessi dietro un wireless client si presentano tutti con lo stesso mac. Volevo quindi autorizzarli utilizzando il mac del Wir cl. + l'ip fisso assegnato ma non funzionava. Gli Ap sparsi in giro su un'area di 800x70 mt erano in wds con piu' mac configurati in modo da poter sopperire alla rottura di un apparato. (Gli ap supportano sia l'802.1d Spanning Tree sia il wireless client isolation).

Ho riprovato giusto ora la possibilità di autorizzare automaticamente i client per MAC+IP e la cosa funziona perfettamente. Se scopri qualcosa tienimi aggiornato.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Dom Set 30, 2007 12:20 pm    Oggetto: Rispondi citando

Ciao

Grazie per la veloce risposta

Avevo letto la faq che mi hai indicato.
Per autenticare i 10 utente utilizzo un p3 866 con 256 Mb di ram: In questo caso ho utilizzato un server ibm xeon dual core.
Non ho avuto problemi per tutta la durata della gara sino a termine quando circa 60 fotografi si sono connessi contemporaneamente.

Problema di essere finito in blacklist
Per dare accesso ai server smtp ho modificato lo script cp_authorize_client in modo da reindirizzare (dopo autenticazione) la porta smtp su p3scan, che eseguiva il controllo anntivirus girando la mail al server smtp del provider.
La soluzione potrebbe essere quella di utilizzare postfix e non il server smtp del provider ed attivare il limite sul numero massimo mail inviate. Appena ho un po di tempo vedo di sostituire p3scan con postfix.

Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it