Деление трафика на терминальном сервере

Если существуют какие-нибудь другие способы для классификации трафика на терминале

1. iptables --uid-owner
2. прокси с авторизацией

Да, и про то и про другое знаю. Прокси не подойдет на случай, если народ будет качать не веб трафик, поэтому отпадает. Сейчас колдую с uid-owner, пока задумка такая. На терминальном сервере поднимается много адресов (=колву станций). При входе пользователя в систему выполняется скрипт, который добавляет новое правило в iptables, связывающее пользователя и его ip адрес. что-то вроде этого: http://marc.info/?l=ltsp-discuss&m=119417138902112&w=2

iptables -A OUTPUT --uid-owner 500 -j SAME --to 172.29.1.244 По выходу пользователя из системы, тоже выполняется скрипт, удаляющий соответствующее правило..

Хочу спросить - это не бред? Может существует какой-нибудь другой способ, а я тут себе голову ломаю? Решение в принципе меня устраивает, но не хочется изобретать велосипед.

технически - возможно, а вообще это слегка нарушение идеалогии UNIX, вы таким образом обламываете неинтерактивные сессии. То есть замечательная классика nohup, at, cron будет сильно ограниченна.

А что мне можно порекомендовать? Проблема ведь актуальная.. Каким образом делить трафик на терминальном сервере? Если резать непосредственно на нем, то это не очень гибкое решение, придется ограничивать rate и ceil в tc как на шлюзе, так и на нем самом.

Предложу на всеобщее обсуждение еще один вариант. Пакеты на терминале можно метить через TOS, целых 256 вариантов.. можно использовать в своих целях.. И уже по этой метке делить на шлюзе.

Жду еще решений\предложений от коллективного разума.

TOS немного для других целей и маршрутизаторы будут мягко говоря озадаченны :)

правильных решений, по сути 2

1) виртуализация (каждому юзеру/группе) по виртуальной машине и собственному IP

2) (не исключающий впрочем 1) доменная/сетевая авторизация, ipsec и ipv6 чтобы с пакетами шли идентификаторы. MUST HAVE для сети терминалов.

использовать сетевые адреса фактически для маркировки трафика - на мой взгляд здоровенный, тяжко администрируемый костыль. Даже самопальный модуль сующий и проверяющий UID в опциях ip был-бы меньшим злом.

ЗЫ. ради интереса глянул как в iptables обстоят дела с опциями IP - совсем никак они не обстоят. Фичу можно реквестировать.

Ни слова не написано про то на чем реализуются тонкие станции.

MKuznetsov: спасибо большое за профессиональный ответ. Буду ковырять ipsec.

guyvernk: Тонкие станции либо на старенький бездисковых компах (P800, 256M), либо обычные терминальные решения от Depo, iRu, Sun. Пока еще не определились с выбором, закупили по одной штуке от каждого производителя, будем решать, что лучше.

====
В принципе, вопрос можно считать решенным, спасибо всем.

Буду краток - NuFW

ставишь это на роутер - а на клиентов(на терминальный сервер) - агент. В результате на роутере получаем сведения какой клиент(логин) куда ломится. Дальше - делаем все что душе угодно

это бред и прокси подойдет! отрубаешь все соединения кроме как на прокси и не и.... И вообще по-моему вы пытаетесь изобрести велосипед вместо того чтобы использовать простые и понятные вещи.

всякие там скрипты по входу и выходу идут явно мимо существуют, как пример а что если reset...

Система должна быть простой и понятной)

А что за софт на сервере?

я спрашивал про софт которым реализуется терминальный сервер и клиенты

подозреваю что там w2k8r2 TS

и что все решалось бы настройкой сквида на работу с керберосом и нтлм авторизацией