IPFW и маркированные пакеты

[kapa6ac]

Доброго дня.
Не знал как правильно обозвать тему...
Вот тут http://www.opennet.ru/docs/RUS/ipfw_pf_ ... index.html в описалове написано, что:

Каждый пакет можно фильтровать на основе следующей, связанной с ним информации
Интерфейс передачи и приема (по имени или адресу)
Направление (входящий или исходящий)
Исходный и целевой IP-адреса (возможно, замаскированные)
Протокол (TCP, UDP, ICMP и т.п.)
Исходный и целевой порт (можно указывать списки, диапазоны или маски)
Флаги TCP
Флаг IP-фрагмента
Опции IP
Типы ICMP
Идентификатор пользователя/группы для сокета, связанного с пакетом

Больше всего интересен пункт "Идентификатор пользователя/группы для сокета, связанного с пакетом". Собственно вопрос - а это как?
Насколько я понимаю, что пакеты идущие от пользовательских машин содержат некие идентификаторы пользователя и группы?
Просматривал пакеты ничего похожего на какие-то маркеры я не нашел

Укажите в какую сторону рыть?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[serge]

Возможно имелось ввиду это:
http://house.hcn-strela.ru/BSDCert/BSDA ... fw-UID-GID

[kapa6ac]

Спасибо.
Значит IPFW может по GID и UID работать только локально.
Просто я хотю пропускать пользаков в Инет не по ИП адресу, а по имени под которым он зашел в систему, т.к. юзверы имеют свойство очень часто прыгать с машины на машину. В связи с этим имею такую головную боль...

Нет мыслей как бы такое организовать?

[serge]

vpn

[kapa6ac]

VPN - не вариант , т.к. пользаку придется ручками устанавливать соединение и писать свой логин и пасс, а пользаки вредные, нудные и тупые...
Вот как бы сделать, чтобы аутенитификация проходила по имениу пользователя, который залогинелся в систему?
Сейчас морщу лоб в сторону authpf...

[serge]

Если домен, то проксю на доменных учетках мона.

[kapa6ac]

Снова подстава:
1 - домена нет (есть LDAP)
2 - часто быват нужна не только прокся, но и банк клиент...

[kapa6ac]

Решение (не знаю насколько оно красивое)
На клиентских машинах пакеты идущие в Инет метятся меткой. Если юзверь не принадлежит группе, которой разрешен доступ в Инет, то пакеты не метятся. А на фаерволле отфутболиваются все не маркированные пакеты.

Жду критики.

[Alex Keda]

Решение (не знаю насколько оно красивое)
На клиентских машинах пакеты идущие в Инет метятся меткой. Если юзверь не принадлежит группе, которой разрешен доступ в Инет, то пакеты не метятся. А на фаерволле отфутболиваются все не маркированные пакеты.

Жду критики.

расскажи - как метить будешь?

[kapa6ac]

например вот так:

Код: Выделить всё

$iptables -t mangle -A OUTPUT -d ! $local_net -j TOS --set-tos 0x10

[Alex Keda]

у тебя на клиентских машинах - иптаблес есть?

[kapa6ac]

Ну как бы сейчас в стране пошла сурьезная борьба с нелегальным ПО, поэтому нужно либо покупать либо пересаживаться на никсы.
Вот всю фирму постепенно переводим на Ubuntu...