LINUX.ORG.RU
ФорумAdmin

Идентификация пользователей (?)


0

0

Привет всем!
Есть стандартная проблема: Linux-сервер и локалка, юзеры которой ходят через сервер (маскарадинг) в Интернет.
Надо решить две вещи:
1. Подсчет траффика каждого юзера. Это ясно как делать (ipchains, iptables).
2. Предотвращение несанкционированного (неучтенного) доступа в Интернет.
Последнюю проблему можно решать по-разному. Я пока все сделал ляповато - учет юзеров по IP-адресу. Но, понятно, что злоумышленник в локалке может нахаляву качать информацию из И-нета, установив себе, скажем, ночью IP-адрес "честного" пользователя, который в это время мирно спит дома.
Выходы из положения:
А). Идентифицировать юзеров заданием login и passwd при доступе к ресурсам И-нет. Но это громоздко для чайников (мой опыт).
Б). При доступе машины в И-нет определять/проверять не только IP-адрес клиента, но и МАК (ARP) адрес его сетевой карточки, которые, как известно, для каждой сетевой карточки уникальны:))
В этом случае нахаляву можно качать информацию только с машин зарегистрированных юзеров и ответственность за несанкционированный доступ в И-нет перекладыватся с сисадмина на юзера.
А вопрос, собственно, простой: как организовать пункт Б) на Linux-сервере? (Kernel 2.4.* или 2.2.*) Мне достаточно указать ссылочки или HOWTO...
P.S. Знаю, что под Вынь-и-Выкинь подобная вещь существует. Не могу поверить, что такой фишки нет под Linux.

anonymous

Б) man iptables.. а мас адреса не уникальны, легко меняются..
Готовое решение - VPN. PopTop или IPSEC (FreeS\WAN)

AlexK

ak
()

:-))))))) Нахрен хаб на ночь выключить :-)))))))))

e2e4
()

А какой VPN будет хорошо жить с виндой (95/98/NT) PopTop или IPSEC? Проблема та же.

P_Igorek
()

Для того чтобы не было инцидентов с несанкционированным доступом в сеть(подменой IP) я патчил ядро и жестко завязывал всех по IP-MAC адресам. Работает безотказно :)) Я перешел на фрю тока из-за firewall - тока на ней можно намано считать статистику :) на линухе через ipchains - сильно много проверок нужно делать да и не подсчитаешь сильно верно :((. если что- пиши pavluha@gmx.net.

anonymous
()

>А какой VPN будет хорошо жить с виндой (95/98/NT) PopTop или IPSEC? >Проблема та же.

Любой, причем для PopTopa вообще на винде ничего ставить не надо, для ipsec есть много клиентов.. я использую PGPNet

>Для того чтобы не было инцидентов с несанкционированным доступом в >сеть(подменой IP) я патчил ядро и жестко завязывал всех по IP-MAC >адресам. Работает безотказно :))

Работает безотказно... Свежо придание ж-))
Любой дурак c RTL8129 картой сможет поменять себе связку ip-mac и закосить под своего соседа по сетке, когда у того комп выключен будет.. и ничего твоя фря не сделает.

>Я перешел на фрю тока из-за firewall - тока на ней можно намано >считать статистику :) на линухе через ipchains - сильно много >проверок нужно делать

может приведешь хоть один пример ?? а то уж очень голословно ж-))

AlexK

ak
()
Ответ на: комментарий от ak

Слыш, еслм ты такой умный, напиши мне правила, которые не будут считать весь межсетевой трафик а также трафик с сервера (фтп, веб, пару игровых серверов etc), а всё остальное будут считать и напиши, как это добро отсеивать.....

anonymous
()

Без проблем. Опиши конкретно, с адресами и портами, что надо считать.

qwe ★★★
()

Полность согласен с qwe.

ak
()

на сервере-роутере крутится всё(веб, фтп, самба, мыло, прокся...) в нем 3 сетевухи - 2 в локалки (192.168.0 и 192.168.1) 3-я смотрит в маршрутизатор напишите правила, позволяющие не считать весь локальный трафик, за исключением мыльника и сквида для линуха, и скрипт, который будет всё это снимать(тока считаемый трафик) и ложить это либо в текстовый файл, либо в БД типа Postgres или MySQL

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.