[Sysadmins] squid : аналог ntlm для linux-клиентов
Olvin
=?iso-8859-1?q?olvin_=CE=C1_rambler=2Eru?=
Сб Май 26 19:10:24 MSD 2007
Eugene Prokopiev пишет:
>>>>>>если это терминал сервер(на линуксе), то может получится использовать
>>>>>>iptables (он вроде умеет uid различать)
>>>>>Не получится... эта поддержка нифига не пашет как надо!
>>Пашет. Только для исходящего трафика.
> Говорили вроде, что не работает на smp. Вы проверяли, все нормально?
Про SMP не знаю.
>>>>Кстати, я когда делал аналогичную штуку, обратил внимание что iptables
>>>>умеет различать uid только для исходящего трафика. Для входящего не
>>>>умеет. Но в таком случае, можно действительно каждому пользователю
>>>>выдать его личный Ip-шник и делать так:
>>>>-A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT
>>>>-A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT
>>>>-A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT
>>>>-A OUTPUT -s 192.168.100.0/24 -j REJECT
>>>интересно как тогда выглядит таблица маршрутизации :) ?
>>>возможно получится через iproute сделать маршрутизацию.
>>Основной затык как раз в маршрутах. Они отрабатывают ещё до этих правил.
>>А так можно было бы сделать алиасы и действительно по адресам
>>разруливать и считать...
> А причем тут, собственно, маршруты, и как они могут помочь? Требуется,
> чтобы пакеты с --uid-owner user1 уходили с определенного адреса, и
> едиственный способ, который приходит мне в голову - это SNAT
SNAT работает уже после того, как принято решение о маршруте.
> Можно сформулировать задачу более общим образом, не привязываясь к
> первоначальной постановке с разделением трафика по пользователям.
> Допустим, наша нашина имеет интерфейс eth0 с адресами 10.0.0.101
> 10.0.0.102 10.0.0.103, шлюз - 10.0.0.1, на машине запущено приложение,
> привязанное к адресу 0.0.0.0. С какого адреса уйдут пакеты этого
> приложения
Т.е. какой адрес источника будет у исходящих пакетов? Это можно с
помощью SNAT.
> и можно ли как-то влиять на этот процесс?
Можно. SNAT.
Но в случае с интернет-выходом так просто не получится. Что бы работала
предложенная вами схема, нужно, чтобы провайдер выделил IP-адреса в
количестве, равном предполагаемому количеству интернет-пользователей.
Причём сразу. Это по деньгам не все могут себе позволить.
Подробная информация о списке рассылки Sysadmins