[Теория] LDAP users + iptables

0

0

Пока просто в теории интересуюсь про ldap, в планах есть желание почитать что-нить про ISA, по сути единственный ее плюс в том, что она умеет трафик разруливать по доменным пользователям, подумал как такое реализовать в linux.

Тут же придумалось следущее решение, если есть связка:

LDAP как база для пользователей (прочего),
на шлюзе iptables + pam (mod_ldap, пользователи из LDAP, локальных нет),
как workstation linux + pam (mod_ldap, пользователи из LDAP, локальных нет).
При этом, UID пользователя храниться в ldap, так вот если на шлюзе применять правила вида:

$IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -m owner --gid-owner 100 -j REDIRECT --to-ports 3128

т.е. правила использующие uid/gid будут ли они применяться/работать ???

Ссылка

←	Добавить строку в файл не удаляя предыдущую

SLES 9. Проблема с VNC

→

Ничего не получится.

anonymous
(19.09.08 13:32:38 MSD)

Ссылка

На workstation linux $IPTABLES -t mangle -A OUTPUT -p tcp --dport 80 -m owner --gid-owner 100 -j TOS --set-tos 100

$IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -m tos -tos 100 -j REDIRECT --to-ports 3128

Толко на TOS есть ограничение 8 bit.

tungus ★
(19.09.08 14:08:38 MSD)

Ответ на: комментарий от tungus 19.09.08 14:08:38 MSD

> $IPTABLES -t mangle -A OUTPUT -p tcp --dport 80 -m owner --gid-owner 100 -j TOS --set-tos 100

> $IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -m tos -tos 100 -j REDIRECT --to-ports 3128

А если -j MARK вместо -j TOS? значения от 0 до 0xFFFFFFFF

$IPTABLES -t mangle -A OUTPUT -p tcp --dport 80 -m owner --gid-owner 100 -j MARK --set-mark 100
$IPTABLES -t nat -A OUTPUT -p tcp --dport 80 -m mark --mark 100 -j REDIRECT --to-ports 3128

По теме: не уверен, что сработает, но чем чёрт не шутит...
Топикстартеру: пробуй и доложись тут - интересно же :)

Slavaz ★★★★★
(19.09.08 14:18:19 MSD)

Ответ на: комментарий от Slavaz 19.09.08 14:18:19 MSD

Я пока просто прикидываю, в любом случае на скорую руку, побыстрому опробовать не удасться, потому в ближайшие сутки не ждите. В любом случае получается, что если приспичить такое организовать то решение есть.

anonymous
(19.09.08 14:25:23 MSD)

Ссылка

Ответ на: комментарий от Slavaz 19.09.08 14:18:19 MSD

> А если -j MARK вместо -j TOS? значения от 0 до 0xFFFFFFFF

Очевидно что работать не будет

tungus ★
(19.09.08 15:02:08 MSD)

Ответ на: комментарий от tungus 19.09.08 14:08:38 MSD

>На workstation linux $IPTABLES -t mangle -A OUTPUT -p tcp --dport 80 -m owner --gid-owner 100 -j TOS --set-tos 100

PS. только желательно очистять tos в mangle - а то всякие приложения могут выставлять tos.

Т. е. на workstation должны как минимум быть два правила:

$IPTABLES -t mangle -A OUTPUT -p tcp --dport 80 -j TOS --set-tos 0

$IPTABLES -t mangle -A OUTPUT -p tcp --dport 80 --gid-owner 100 -j TOS --set-tos 100

Помимо tos на workstation так же можно аналогично метить пакеты с помощью ttl заголовка

tungus ★
(19.09.08 15:16:38 MSD)

Ответ на: комментарий от tungus 19.09.08 15:02:08 MSD

а, понял идею. :) На клиентах маркировать пакеты полем tos, на роутере на основе этого поля разгребать. Извиняюсь, сразу не распознал слово "Workstation" :)

Slavaz ★★★★★
(19.09.08 15:22:36 MSD)