Настройка iptables в домене на основе Samba+LDAP

хм. а я залогинюсь на машинку, запущу на ней простейший редиректор (или, например, socks proxy), и дождусь, пока на неё залогинится кто-то ещё. и кааааак скачаю через него порнухи тыщу мильон гигабайтов!

> хм. а я залогинюсь на машинку, запущу на ней простейший редиректор

а хватит прав повесить свою сетевую службу ?

если да - ты админ, и можешь наделать гораздо больше глупостей ;) а если нет - это урок админу. перестанет раздавать права...

а что, нет возможности просто оставить в памяти некий процесс, который не завершится после логоффа?

>Так, например, помимо динамических iptables, я достаточно легко прикрутил и систему учета трафика,

Можно вас попросить дать небольшое описание того как это сделано?

все достаточно просто, я написал свой биллинг +)

в MySQL в одной табличке хранятся id + login
в другой - id и IPшник

perl-скрипт при логоне пользователя лезет в mysql, и смотрит, соответствует ли IP логину. если нет - заменяет IPшник на новый.

> а что, нет возможности просто оставить в памяти некий процесс, который не завершится после логоффа?

гмм. а есть в винде что-то типа nohup ?

Нет. И нельзя работать с портами ниже 1024.

Что-то подсказывает мне, что LDAP для данной задачи - это перебор, и можно было сделать заметно проще. То бишь, обычный текстовый конфиг.

ну порты-то тут и не нужны.

хорошо, даже если и завершаются все процессы - всё равно сильно это всё неровно как-то. сильно ограниченна область применения - ибо сразу придётся забыть, например, про возможность терминальных сессий.

LDAP не для данной задачи, все наоборот. потому что сначала был LDAP, а потом все остальное.

Я прочитал и что-то даже понять не могу, нахрена для того, чтоб юзеря "сосчитать" файрволл править? Я думаю для ограничения доступа в инет хватило бы suqid c auth_param ntlm (как раз для самбы), Samba, да squidguard при необходимости. А настройки iptables при логине менять мне кажется излишне.

А зачем ему вообще нужен был LDAP, начнём с того... Там что, жутко
распределённая сеть? Судя по описанию - нет.

Гланды, тоже можно вырезать через задний проход.

Для таких задач оптимально: единственный сервер на Win2K (AD + ISA + file/print service). Производительность, безопасность (прямые руки!) не хуже и, при этом, ни каких танцев с бубном.

Неинтересно, да и неверно в долгосрочном плане.

да ну, а давайте посчитаем ?
Или мы все воруем и воруем?

Mu-ha-ha !

Если у теья все так замечательно - положи сюда свой IP ... Слабо!? Ну дык - в инет выставиться, не камушки ворочать :-)

>Mu-ha-ha ! >Если у теья все так замечательно - положи сюда свой IP ... Слабо!?

Крутой, что ли? Сходи на неткрафт. Возьми любой IP сайта на IIS и ломай его сколько влезет, если сможешь, конечно.

Те кто считает, что LDAP - здоровая БД для распределенных сетей, имхо, ошибаются. Ее имеен смысл применять, если однин общий список пользователей используется более чем _одним_ сервером. Ставится она очень просто, пользователи переносятся элементарно - все скрипты уже написаны. Зато геморрою с синхронизацией "текстовых файликов", как было предложено выше, не возникнет. LDAP офигенно удобна тем, что к ней можно прицепить любую свою схему, и использовать получившиеся дополнительные атрибуты. Попробуйте, засуньте в /etc/passwd параметр разрешения доступа в интернет +)

Динамическое переконфигурирование iptables - затем, что интернет не ограничивается одним 80м портом, и на одном squid не уедешь! Кроме того, я писал в заметке, что используется DNAT для проброса соединений во внутреннюю сеть, если пользователю выдан отдельный реальный IP.

Там ещё одна некритическая ошибка. MASQUERADE нужен только для
случая, когда динамически меняется внешний IP маршрутизатора.
Если он постоянный, то рекомендуется прописывать SNAT для всех.

> Те кто считает, что LDAP - здоровая БД для распределенных сетей, имхо, ошибаются.

Я вообще считаю, что она нездорова от рождения, и непригодна ни для
каких сетей ;) Но в данном случае не это важно.

> Ее имеен смысл применять, если однин общий список пользователей
используется более чем _одним_ сервером.

Совершенно верно. И какой второй сервер использует LDAP в описанном случае?

> Если у теья все так замечательно - положи сюда свой IP ... Слабо!?

127.0.0.1

> Совершенно верно. И какой второй сервер использует LDAP в описанном случае?

рабочие станции я не описывал. но это не значит, что их нет +)

> Динамическое переконфигурирование iptables - затем, что интернет не ограничивается одним 80м портом, и на одном squid не уедешь!

Ну а какие еще нужно давать протоколы юзерям с ограничениями, которые не могут через сквид работать? Или ты таким позволяешь почтовые, шелловые и т.п. доступы к внешним серверам?

> Кроме того, я писал в заметке, что используется DNAT для проброса соединений во внутреннюю сеть, если пользователю выдан отдельный реальный IP.

А зачем нужен DNAT, если пользователю выдан отдельный _реальный_ IP ??? Или ему только он условно выдан, а на самом деле у пользователя 192.168....

Во первых спасибо автору за статью Во вторых ананимусы перед тем как критиковать вы напишите альтернативную статью а потом во все гланды кричите что лдап это скас. Я вот пользую лдап около года, не было не геморроя при настройке не чрезмерного потребления ресурсов сервера со сторы openldap хотя я сам вижу что сэкономил себе кучу времени не заводя одни и те же учетки на мыле на самбе и проч.

Подозреваю что многие из ответивших даже представления о механизме работа openldap не имеют.