LINUX.ORG.RU
ФорумAdmin

Собрать функционал аля kerio


0

0

Хотелось бы инструмент (или набор инструментов), что бы получить лёгкое управление контролем доступа в инет пользователей. 1. Аутентификация пользователей из AD (squid умеет) 2. Раздавать права доступа по группам (squid умеет) 3. Натить определенные порты определенных пользователей 4. Квоты

Понятно, что squid + iptables. Но хочется поиметь гибкий и простой фронт энд к этому. А не писать отдельно правила для сквида, потом для iptables, как прикрутить аутентификацию к iptables.

Функционал и интерфейс kerio очень подходит, но религия не позволяет...


Re: Собрать функционал аля kerio

Вы хотите сказать, что керио на шлюзе умеет форвардить соединения для определённого пользователя, соединяющегося с любого компьютера? Именно по пользователям распределять форвард, а не по IP? И даже клиенты для этого не требует устанавливать на этих компьютерах? Фантастика, да. :)

HolyBoy ()
Ответ на: Re: Собрать функционал аля kerio от HolyBoy

Re: Собрать функционал аля kerio

именно так. и форвардить и натить и применять http ftp полиси и т.д. Агента отродясь небыло. Принцип то простой.... И меня ржачь разбирает от таких постов как ваш. Хоть бы знали о чем речь... :)))

zooooo ()
Ответ на: Re: Собрать функционал аля kerio от zooooo

Re: Собрать функционал аля kerio

Есть у меня мысля маркировать пакеты от авторизованых пользователей, но до релиза такого фронтенда уйдет 6-7 месяцев. Вообщем решаемо, но может быть есть готовое?

zooooo ()
Ответ на: Re: Собрать функционал аля kerio от zooooo

Re: Собрать функционал аля kerio

>Есть у меня мысля маркировать пакеты от авторизованых пользователей, но до релиза такого фронтенда уйдет 6-7 месяцев. Вообщем решаемо, но может быть есть готовое?

Есть.... И имя ему VPN !

vasya_pupkin ★★★★★ ()

Re: Собрать функционал аля kerio

ну Radius настрой или там kerberos, правда что-то мало вериться, что клиенты прямо без нифига и авторизуются... на основе какой инфы mac+ip?

dimon555 ★★★★★ ()
Ответ на: Re: Собрать функционал аля kerio от zooooo

Re: Собрать функционал аля kerio

sams-это управление сквидом. Мне бы функционал самс + надстроку для iptables. Т.е. вот например есть жаба прилаги на некоторых машинах, ходить через прокси неумеют, я их nat'чу. Ясно что можно и ручками забить в iptables и через год забыть что и где, хочется гибкого и легкого управления, где объекты группы, пользователи, политики и т.д., доступ по ip только у серверов. Вообщем философия управления kerio и isa меня вполне устраивает.

zooooo ()
Ответ на: Re: Собрать функционал аля kerio от zooooo

Re: Собрать функционал аля kerio

dimon555, доки есть и на русском. Нафик мак. Разжую. Пользователь логинится на машину. Доступа в тырнет нет, пока пользователь не посетит страницу аутентификации(либо логон скрипт подкладывается). Шлюз привязывает юзера к ip и работают все правила. При логофе юзер автоматом (скриптом) разлогинивается со шлюза. В итоге в отчетах по юзерам мы видим с каких машин юзер заходил. Логофф может происходить по таймауту.Как управлять сквидом вплоть до авторизации по ntlm я знаю и кое где работает. Хочется заставить работать так же iptables, но для этого надо оболочку которая бы правильно добавляла правила и т .д. И на сколько я себе представил, правил на маркировку будет столько, сколько пользователей....

zooooo ()
Ответ на: Re: Собрать функционал аля kerio от zooooo

Re: Собрать функционал аля kerio

Не надо столько правил маркировки пакетов. Надо прверять залогинился ли пользователь, если да, маркировать пакет его "номером". Н да осталось продумать архитектуру .... :))).

zooooo ()
Ответ на: Re: Собрать функционал аля kerio от zooooo

Re: Собрать функционал аля kerio

> И меня ржачь разбирает от таких постов как ваш. Хоть бы знали о чем речь... :)))

Смех без причины — признак известно кого.

> Доступа в тырнет нет, пока пользователь не посетит страницу аутентификации(либо логон скрипт подкладывается). Шлюз привязывает юзера к ip и работают все правила.


Ага, понятно. Значит, всё ж по айпи доступ во внешний мир регулируется, а шоколадно оформленная схема не позволяет многопользовательской работы с одной машины.

Вывод: в топку. И вас туда же с вашим гонором.

HolyBoy ()
Ответ на: Re: Собрать функционал аля kerio от zooooo

Re: Собрать функционал аля kerio

> И на сколько я себе представил, правил на маркировку будет столько, сколько пользователей....

Вы больны. man iptables -j USER_CHAIN_NAME

/me в истерике - а вот интересно, как будет разруливаться сервер терминалов?

no-dashi ★★★★★ ()
Ответ на: Re: Собрать функционал аля kerio от HolyBoy

Re: Собрать функционал аля kerio

>не позволяет многопользовательской работы с одной машины.

Не надо тормозить, один пользователь вышел, второй зашел. Но господин нифига не читатель, господин пейсатель. Пешы исчё.

zooooo ()
Ответ на: Re: Собрать функционал аля kerio от no-dashi

Re: Собрать функционал аля kerio

> Вы больны. man iptables -j USER_CHAIN_NAME

ай яй яй. Больны вы и скорее всего что то со зрением.

Для сервера терминалов есть в том же керио решение и в ISA есть (но млять с агентом). Но мы ж говорим о юниксовом шлюзе...

Хотя с кем я разговариваю, один в прошлом веке другой в истерике :))))

zooooo ()

Re: Собрать функционал аля kerio

извините, я тож по дурости влезу в вашу умную беседу...

> 3. Натить определенные порты определенных пользователей


то есть мы допускаем ситуацию, когда набор ПО не будет жёстко фиксирован с железом? с одной стороны оно как-бы понятно, что лузер втыкает сидюк/флеху и начинается "гей-парад", а если это jar - то уже "гей-празднег". и тут же мы видим другую фразу:

> Т.е. вот например есть жаба прилаги на некоторых машинах, ходить через прокси неумеют, я их nat'чу.


так вам чего надо? по лузерам или по "железякам"? устраивает kerio - и пользуйте, сюда с какого припёрлись?

> Пользователь логинится на машину. Доступа в тырнет нет, пока пользователь не посетит страницу аутентификации(либо логон скрипт подкладывается). Шлюз привязывает юзера к ip и работают все правила. При логофе юзер автоматом (скриптом) разлогинивается со шлюза.


млять, а что мешает этим же скриптом докинуть правила ната по лузерам?!

> Мне бы функционал самс + надстроку для iptables.


sams + fwbuilder ? или таки разберитесь, что и на кой буй вам реально надо... (может таки на kerio вернётесь?)

sda00 ★★★ ()
Ответ на: Re: Собрать функционал аля kerio от sda00

Re: Собрать функционал аля kerio

sams + fwbuilder ? или таки разберитесь, что и на кой буй вам реально надо... (может таки на kerio вернётесь?)

вот уже кое что похожее. Спасибо человеческое. Смысл вы уловили правильно, как это я пропустил fwbuilder. Керио у меня работает на 2-ух конторах, на третей сквид + режик + iptables задолбало по сути одни и те-же изменения в разные конфиги пихать.

>млять, а что мешает этим же скриптом докинуть правила ната по лузерам?!

Да ничего не мешает, просто хочется интерфейс более менее.

>то есть мы допускаем ситуацию, когда набор ПО не будет жёстко >фиксирован с железом? с одной стороны оно как-бы понятно, что лузер >втыкает сидюк/флеху и начинается "гей-парад", а если это jar - то уже >"гей-празднег"

Ну вот пример, есть гос учреждение куда сдаются данные о сотрудниках и т.д. и есть их прилага. Правило на фаере примерно выглядит так:

КТО: грОтделКадров КУДА: www.сервер_гос_структуры.org ГДЕ порты 443,4443 ДЕЙСТВИЕ: NAT

К машине софт не привязан. Про безопасность не говорим мы, да и чего про неё говорить, когда нет софта контролирующего USB и т.д., да и положений о безопасности.

zooooo ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.