Собрать функционал аля kerio

Вы хотите сказать, что керио на шлюзе умеет форвардить соединения для определённого пользователя, соединяющегося с любого компьютера? Именно по пользователям распределять форвард, а не по IP? И даже клиенты для этого не требует устанавливать на этих компьютерах? Фантастика, да. :)

именно так. и форвардить и натить и применять http ftp полиси и т.д. Агента отродясь небыло. Принцип то простой.... И меня ржачь разбирает от таких постов как ваш. Хоть бы знали о чем речь... :)))

Есть у меня мысля маркировать пакеты от авторизованых пользователей, но до релиза такого фронтенда уйдет 6-7 месяцев. Вообщем решаемо, но может быть есть готовое?

sams?

да, про керио знаю только название

>Есть у меня мысля маркировать пакеты от авторизованых пользователей, но до релиза такого фронтенда уйдет 6-7 месяцев. Вообщем решаемо, но может быть есть готовое?

Есть.... И имя ему VPN !

Рассматривал впн. не подходит. Лишняя настройка на клиенте, как следствие лишние звонки и т.д. sams гляну, что то знакомое.

ну Radius настрой или там kerberos, правда что-то мало вериться, что клиенты прямо без нифига и авторизуются... на основе какой инфы mac+ip?

sams-это управление сквидом. Мне бы функционал самс + надстроку для iptables. Т.е. вот например есть жаба прилаги на некоторых машинах, ходить через прокси неумеют, я их nat'чу. Ясно что можно и ручками забить в iptables и через год забыть что и где, хочется гибкого и легкого управления, где объекты группы, пользователи, политики и т.д., доступ по ip только у серверов. Вообщем философия управления kerio и isa меня вполне устраивает.

dimon555, доки есть и на русском. Нафик мак. Разжую. Пользователь логинится на машину. Доступа в тырнет нет, пока пользователь не посетит страницу аутентификации(либо логон скрипт подкладывается). Шлюз привязывает юзера к ip и работают все правила. При логофе юзер автоматом (скриптом) разлогинивается со шлюза. В итоге в отчетах по юзерам мы видим с каких машин юзер заходил. Логофф может происходить по таймауту.Как управлять сквидом вплоть до авторизации по ntlm я знаю и кое где работает. Хочется заставить работать так же iptables, но для этого надо оболочку которая бы правильно добавляла правила и т .д. И на сколько я себе представил, правил на маркировку будет столько, сколько пользователей....

Не надо столько правил маркировки пакетов. Надо прверять залогинился ли пользователь, если да, маркировать пакет его "номером". Н да осталось продумать архитектуру .... :))).

> И меня ржачь разбирает от таких постов как ваш. Хоть бы знали о чем речь... :)))

Смех без причины — признак известно кого.

> Доступа в тырнет нет, пока пользователь не посетит страницу аутентификации(либо логон скрипт подкладывается). Шлюз привязывает юзера к ip и работают все правила.

Ага, понятно. Значит, всё ж по айпи доступ во внешний мир регулируется, а шоколадно оформленная схема не позволяет многопользовательской работы с одной машины.

Вывод: в топку. И вас туда же с вашим гонором.

> И на сколько я себе представил, правил на маркировку будет столько, сколько пользователей....

Вы больны. man iptables -j USER_CHAIN_NAME

/me в истерике - а вот интересно, как будет разруливаться сервер терминалов?

>не позволяет многопользовательской работы с одной машины.

Не надо тормозить, один пользователь вышел, второй зашел. Но господин нифига не читатель, господин пейсатель. Пешы исчё.

> Вы больны. man iptables -j USER_CHAIN_NAME

ай яй яй. Больны вы и скорее всего что то со зрением.

Для сервера терминалов есть в том же керио решение и в ISA есть (но млять с агентом). Но мы ж говорим о юниксовом шлюзе...

Хотя с кем я разговариваю, один в прошлом веке другой в истерике :))))

извините, я тож по дурости влезу в вашу умную беседу...

> 3. Натить определенные порты определенных пользователей

то есть мы допускаем ситуацию, когда набор ПО не будет жёстко фиксирован с железом? с одной стороны оно как-бы понятно, что лузер втыкает сидюк/флеху и начинается "гей-парад", а если это jar - то уже "гей-празднег". и тут же мы видим другую фразу:

> Т.е. вот например есть жаба прилаги на некоторых машинах, ходить через прокси неумеют, я их nat'чу.

так вам чего надо? по лузерам или по "железякам"? устраивает kerio - и пользуйте, сюда с какого припёрлись?

> Пользователь логинится на машину. Доступа в тырнет нет, пока пользователь не посетит страницу аутентификации(либо логон скрипт подкладывается). Шлюз привязывает юзера к ip и работают все правила. При логофе юзер автоматом (скриптом) разлогинивается со шлюза.

млять, а что мешает этим же скриптом докинуть правила ната по лузерам?!

> Мне бы функционал самс + надстроку для iptables.

sams + fwbuilder ? или таки разберитесь, что и на кой буй вам реально надо... (может таки на kerio вернётесь?)

sams + fwbuilder ? или таки разберитесь, что и на кой буй вам реально надо... (может таки на kerio вернётесь?)

вот уже кое что похожее. Спасибо человеческое. Смысл вы уловили правильно, как это я пропустил fwbuilder. Керио у меня работает на 2-ух конторах, на третей сквид + режик + iptables задолбало по сути одни и те-же изменения в разные конфиги пихать.

>млять, а что мешает этим же скриптом докинуть правила ната по лузерам?!

Да ничего не мешает, просто хочется интерфейс более менее.

>то есть мы допускаем ситуацию, когда набор ПО не будет жёстко >фиксирован с железом? с одной стороны оно как-бы понятно, что лузер >втыкает сидюк/флеху и начинается "гей-парад", а если это jar - то уже >"гей-празднег"

Ну вот пример, есть гос учреждение куда сдаются данные о сотрудниках и т.д. и есть их прилага. Правило на фаере примерно выглядит так:

КТО: грОтделКадров КУДА: www.сервер_гос_структуры.org ГДЕ порты 443,4443 ДЕЙСТВИЕ: NAT

К машине софт не привязан. Про безопасность не говорим мы, да и чего про неё говорить, когда нет софта контролирующего USB и т.д., да и положений о безопасности.