Страница 1 из 1
IPFW и маркированные пакеты
Добавлено: 2007-10-22 8:37:55
kapa6ac
Доброго дня.
Не знал как правильно обозвать тему...
Вот тут
http://www.opennet.ru/docs/RUS/ipfw_pf_ ... index.html в описалове написано, что:
Каждый пакет можно фильтровать на основе следующей, связанной с ним информации
Интерфейс передачи и приема (по имени или адресу)
Направление (входящий или исходящий)
Исходный и целевой IP-адреса (возможно, замаскированные)
Протокол (TCP, UDP, ICMP и т.п.)
Исходный и целевой порт (можно указывать списки, диапазоны или маски)
Флаги TCP
Флаг IP-фрагмента
Опции IP
Типы ICMP
Идентификатор пользователя/группы для сокета, связанного с пакетом
Больше всего интересен пункт "Идентификатор пользователя/группы для сокета, связанного с пакетом". Собственно вопрос - а это как?
Насколько я понимаю, что пакеты идущие от пользовательских машин содержат некие идентификаторы пользователя и группы?
Просматривал пакеты ничего похожего на какие-то маркеры я не нашел
Укажите в какую сторону рыть?
Re: IPFW и маркированные пакеты
Добавлено: 2007-10-22 8:46:29
serge
Re: IPFW и маркированные пакеты
Добавлено: 2007-10-22 9:00:22
kapa6ac
Спасибо.
Значит IPFW может по GID и UID работать только локально.
Просто я хотю пропускать пользаков в Инет не по ИП адресу, а по имени под которым он зашел в систему, т.к. юзверы имеют свойство очень часто прыгать с машины на машину. В связи с этим имею такую головную боль...
Нет мыслей как бы такое организовать?
Re: IPFW и маркированные пакеты
Добавлено: 2007-10-22 9:03:44
serge
vpn
Re: IPFW и маркированные пакеты
Добавлено: 2007-10-22 9:21:39
kapa6ac
VPN - не вариант
, т.к. пользаку придется ручками устанавливать соединение и писать свой логин и пасс, а пользаки вредные, нудные и тупые...
Вот как бы сделать, чтобы аутенитификация проходила по имениу пользователя, который залогинелся в систему?
Сейчас морщу лоб в сторону authpf...
Re: IPFW и маркированные пакеты
Добавлено: 2007-10-22 9:23:47
serge
Если домен, то проксю на доменных учетках мона.
Re: IPFW и маркированные пакеты
Добавлено: 2007-10-22 9:26:15
kapa6ac
Снова подстава:
1 - домена нет (есть LDAP)
2 - часто быват нужна не только прокся, но и банк клиент...
Re: IPFW и маркированные пакеты
Добавлено: 2007-10-23 10:04:27
kapa6ac
Решение (не знаю насколько оно красивое)
На клиентских машинах пакеты идущие в Инет метятся меткой. Если юзверь не принадлежит группе, которой разрешен доступ в Инет, то пакеты не метятся. А на фаерволле отфутболиваются все не маркированные пакеты.
Жду критики.
Re: IPFW и маркированные пакеты
Добавлено: 2007-10-23 10:05:38
Alex Keda
kapa6ac писал(а):Решение (не знаю насколько оно красивое)
На клиентских машинах пакеты идущие в Инет метятся меткой. Если юзверь не принадлежит группе, которой разрешен доступ в Инет, то пакеты не метятся. А на фаерволле отфутболиваются все не маркированные пакеты.
Жду критики.
расскажи - как метить будешь?
Re: IPFW и маркированные пакеты
Добавлено: 2007-10-23 13:10:10
kapa6ac
например вот так:
Код: Выделить всё
$iptables -t mangle -A OUTPUT -d ! $local_net -j TOS --set-tos 0x10
Re: IPFW и маркированные пакеты
Добавлено: 2007-10-23 13:47:18
Alex Keda
у тебя на клиентских машинах - иптаблес есть?
Re: IPFW и маркированные пакеты
Добавлено: 2007-10-23 14:03:38
kapa6ac
Ну как бы сейчас в стране пошла сурьезная борьба с нелегальным ПО, поэтому нужно либо покупать либо пересаживаться на никсы.
Вот всю фирму постепенно переводим на Ubuntu...