Ограничение доступа

[Илья]

Здраствуйте я недавно познаю для себя DEBIAN так что не судите строго, имеется сервер на нем две сетевухи одна смотрит в инет, со второй раздается интернет через dhcp нужно сделать следующее для определенных пользователей заблокировать доступ в инет, точнее не полностью а частично, для всех остальных оставить открытым...как реализовать данную задачу, помогите

[ogost]

чисто dhcp вам не поможет - максимум разбить на пулы с/без доступа в инет, неправильно выдавая адреса шлюза/днс. если есть админская учетка на хосте, то обходится элементарно - выставляются правильные настройки вручную. вариантов же ограничения доступа масса - погуглите, ликбез себе устройте, решите каким образов вы хотите достичь цели, потом обращайтесь.
я вас не правильно понял.
можно проксю с авторизацией....

[Илья]

Вопрос в следующем что я не фига не понял гуглю второй день, не фига сообразить не могу, вот поэтому и прошу помощи...походу я туплю...

[ogost]

вариантов масса, можно firewall, маршрутизация, dns, прокси, как я уже говорил...
контора или домашняя сеть? клиентов много? AD есть?

[Илья]

небольшая контора, компов 30, что такое AD? если можно поподробней хотя бы об одном способе...

[Илья]

да плюс ко всему есть gre тунель нужно сделать так что бы вся инфа проходящая через этот тунель не блочилась

[ogost]

какого именно результата хотите добиться? чтоб у части клиентов вовсе отсутствовал инет? или толко к отдельным сайтам/сервисам?
Active Directory - гуглите, микрософт. позволяет централизованно рулить виндовыми юзверями + прочее администрирование
лучше погуглите что есть что

[endru]

гуглите про прозрачный прокси сервер (например squid3)

[Илья]

нет инет нужен всем, но у части клиентов был доступ к строго определенным сайтам, Active Directory нет...

[endru]

нет инет нужен всем

а кто говорит что при прозрачном прокси интернета ни у кого не будет?
сначала узнайте как работает, поставьте, посмотрите как работает, и блокируйте пользователей по IP например!

[Илья]

по ip блочить не вариант как я понимаю при dhcp он будет менять адреса в таком случае сетку нужно переводить на динамические адреса я правильно понимаю? или я ошибаюсь

[gardarea51]

Если контора небольшая, то можно в настройках dhcp-сервера привязать MAC-адреса неугодных клиентов на определенные IP-адреса (чтобы они всегда получали имено эти адреса). Далее через iptables заворачивать трафик на 80й порт на порт установленного squid. В squid написать правила. Также через iptables заблокировать неугодным все порты, кроме 80, 443, 53.. и еще какие там нужны. Если свитчи в конторе управляемые, то неугодных можно поместить в отдельный vlan (настроить dhcp на работу в этом vlan тоже) и без всякой привязки MAC-IP разобраться с пользователями этого vlan с помощью iptables/squid.

[gardarea51]

А вообще - напишите подробнее что у вас как, дайте конфиг dhcp, сетевых интерфейсов (ip a l). Поможем, чем сможем..

[sandaksatru]

Гуглите в сторону AD+Kerberos+Squid. Либо можно сэкономить кучу времени и приобрести какой-нибудь простенький маршрутизатор корпоративного уровня, типа ZyXEL ZyWALL USG 20 там это всё "искаропки" есть. Но если блочить не по ip-адресам, а по группам пользователей, то всё равно надо AD поднимать и LDAP-аутентификацию настраивать. Сразу скажу, задача для вашего уровня в любом случае будет сложна...