[Sysadmins] squid : аналог ntlm для linux-клиентов

Eugene Prokopiev =?iso-8859-1?q?prokopiev_=CE=C1_stc=2Edonpac=2Eru?=
Сб Май 26 22:39:35 MSD 2007 

Olvin пишет:
> Eugene Prokopiev пишет:
> 
>>>>>>>если это терминал сервер(на линуксе), то может получится использовать
>>>>>>>iptables (он вроде умеет uid различать)
>>>>>>
>>>>>>Не получится... эта поддержка нифига не пашет как надо!
>>>
>>>Пашет. Только для исходящего трафика.
>>
>>Говорили вроде, что не работает на smp. Вы проверяли, все нормально?
> 
> 
> Про SMP не знаю.
> 
> 
>>>>>Кстати, я когда делал аналогичную штуку, обратил внимание что iptables
>>>>>умеет различать uid только для исходящего трафика. Для входящего не
>>>>>умеет. Но в таком случае, можно действительно каждому пользователю
>>>>>выдать его личный Ip-шник и делать так:
>>>>>-A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT
>>>>>-A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT
>>>>>-A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT
>>>>>-A OUTPUT -s 192.168.100.0/24 -j REJECT
>>>>
>>>>интересно как тогда выглядит таблица маршрутизации :) ?
>>>>возможно получится через iproute сделать маршрутизацию.
>>>
>>>Основной затык как раз в маршрутах. Они отрабатывают ещё до этих правил.
>>>А так можно было бы сделать алиасы и действительно по адресам
>>>разруливать и считать...
>>
>>А причем тут, собственно, маршруты, и как они могут помочь? Требуется, 
>>чтобы пакеты с --uid-owner user1 уходили с определенного адреса, и 
>>едиственный способ, который приходит мне в голову - это SNAT
> 
> 
> SNAT работает уже после того, как принято решение о маршруте.
> 
> 
>>Можно сформулировать задачу более общим образом, не привязываясь к 
>>первоначальной постановке с разделением трафика по пользователям. 
>>Допустим, наша нашина имеет интерфейс eth0 с адресами 10.0.0.101 
>>10.0.0.102 10.0.0.103, шлюз - 10.0.0.1, на машине запущено приложение, 
>>привязанное к адресу 0.0.0.0. С какого адреса уйдут пакеты этого 
>>приложения
> 
> 
> Т.е. какой адрес источника будет у исходящих пакетов? Это можно с
> помощью SNAT.
> 
> 
>>и можно ли как-то влиять на этот процесс?
> 
> 
> Можно. SNAT.
> Но в случае с интернет-выходом так просто не получится. Что бы работала
> предложенная вами схема, нужно, чтобы провайдер выделил IP-адреса в
> количестве, равном предполагаемому количеству интернет-пользователей.
> Причём сразу. Это по деньгам не все могут себе позволить.

ну зачем же столько реальных адресов? ;)

они могут быть серыми, а в интернет попадать через один шлюз (возможно в 
соседнем VE с терминальным сервером) тоже с SNAT  :)

-- 
С уважением, Прокопьев Евгений

Подробная информация о списке рассылки Sysadmins