Mi acceso wifi público

Esta semana que pasó en el blog de Fabio hubieron 2 post [1] y [2] bastante movidos respecto al tema de poner a disposición de cualquiera el acceso a través de nuestra red Wifi, por supuesto estos post tienen su origen en el que publicó Bruce Schneier en Wired, muchos se hicieron eco de esa postura e incluso cuando aprovechamos eventualemente un AP abierto (vecino generoso si los hay) nos quedan ganas de hacer lo mismo, que cualquiera que lo desee utilice nuestra red.
La cuestión es el control, aqui en Argentina los accesos a internet son caros y de mala calidad, yo particularmente dispongo de un acceso via cablemódem de 640k eso hace que no pueda simplemente dejar abierto al 100% mi Wifi, si cualquiera que se conecte y no lo controlo se pone a bajar P2P a mansalva o consumir streaming de manera desaforada me deja poco ancho de banda utilizable para mi y mi novia.
La solución por supuesto esta en utilizar Linux y mediante las herramientas que el Software Libre nos provee lograr la convergencia que deseamos, este post es para esquematizar cómo lo hago yo, detallaré las herramientas que uso y cómo, posteriomente tengo intenciones de hacer un step by step para que cualquiera lo pueda aplicar en su home.


La imagen es bastante detallada sobre la topología que utilizo, pero el propósito es dejarlo lo más claro posible.
Dispongo de un equipo con 3 placas de red, 1 conectada al módem de mi ISP, otra va al AP y la restante a un switch en el que esta mi propia PC y la de mi novia.
Con tan pocos recursos en ancho de banda, el secreto esta en la combinación de herramientas y cómo las utilizamos, como muchos ya adivinaran a squid (EL proxy/cache en Linux) le sumo dansguardian y hago una sopa con reglas de netfilter (iptables para los amigos) pero sobre este último punto, no uso iptables puro y duro (como dice un amigo gallego) sino que simplifico la administración de mi firewall con firehol, que es un wrapper para administrar Netfilter (iptables también lo es).

Al disponer de un Proxy/Cache como squid exprimo al máximo el consumo http de mis redes, dansguardian lo utilizo solamente para el tráfico en la red wifi, en la red lan privada no hay restricciones de ningún tipo y solamente aprovecho el proxy.
Respecto a cómo controlo la red wifi es simple, incluso siendo que esta abierta, los únicos puertos TCP (UDP nada) que pueden salir son los siguientes: 80 y 443 (http y https respectivamente) con eso me aseguro que ningún otro puerto utilizable por programas P2P, ftp, juegos, etc. salga hacia afuera.
Claro, con tener libre http y https no es suficiente, por ejemplo se pueden configurar programas clientes y servidores para escuchar en esos puertos y se saltean mis restricciones, incluso algo que eventualmente yo mismo utilizo es establecer un vínculo VPN con determinados servidores/servicios y ademas de cifrar mi enlace, me salto cualquier tipo de restricción que AP's públicos aplican :D.

El secreto esta en utilizar dansguardian, es sabido por todos los linuxeros/admins que se puede redirigir el tráfico http adonde uno lo desee, en este caso la dupla squid/dansguardian cumple la función de proxy transparente para la red wifi, si añadimos que se pueden crear grupos dentro de la configuración de dansguardian y a esos grupos adosar una lista de sitios permitidos se simplifica todo el esquema.

Entonces lo que hice fue poner toda la red wifi dentro de un grupo y a ese grupo permitirle navegar solamente en los siguientes sitios:
http://www.gmail.com/
http://mail.yahoo.com/
http://www.hotmail.com/
http://www.clarin.com.ar/
La lista sigue, estan incluidos todos los bancos, sitios de búsqueda laboral, el resto de los principales diarios nacionales y algunos internacionales, sitios de impuestos, etc. Como verán no es demasiado extensa, y no hay manera de que puedan navegar por donde no es permitido (salvo que técnicas de hacking como pharming esten involucradas) este comportamiento de dansguardian se llama "Blanket Block" y no sirven las pseudotécnicas como las de navegar a través del traductor o la caché de google ;).

Tengo hasta 6 usuarios que navegan tranquilamente aunque al principio les costó entender el concepto de filtrado (conozco solo a uno) cuando intentan acceder a un sitio fuera del listado permitido les aparece una linda página con el mensaje apropiado (by dansguardian) esta página es totalmente personalizable y hay muchos templates para bajar de internet.

Puede ser que mi metodología para este acceso no sea compartida por todo el mundo, habrán los extremistas que requerirán que este al 100% abierto, pero como se entenderá seria perjudicial para mi, el propósito es mas que nada servir de emergencia, si desean tener la libertad de navegar por donde quieren que lo hagan por sus propias conexiones, sé de varias personas que a veces solamente necesitan chequear sus mails en ese momento, esto es una alternativa.
Posteriormente tengo intenciones de integrarme a la red de www.buenosaireslibre.org.ar
ya que mi server cumple funciones de mirror local de Debian (etch/i386 y Lenny/i386,amd64) asi que la carga y tareas van a ser mayores.

Como dije al principio, este post es el inicio, iré en los siguientes haciendo un paso detallado de la instalación y configuración asi se puede aprovechar :)

Saludos