Ограничение доступа

Илья · 22 августа 2014, 10:42:41

Здраствуйте я недавно познаю для себя DEBIAN так что не судите строго, имеется сервер на нем две сетевухи одна смотрит в инет, со второй раздается интернет через dhcp нужно сделать следующее для определенных пользователей заблокировать доступ в инет, точнее не полностью а частично, для всех остальных оставить открытым...как реализовать данную задачу, помогите

ogost · 22 августа 2014, 10:55:55

чисто dhcp вам не поможет - максимум разбить на пулы с/без доступа в инет, неправильно выдавая адреса шлюза/днс. если есть админская учетка на хосте, то обходится элементарно - выставляются правильные настройки вручную. вариантов же ограничения доступа масса - погуглите, ликбез себе устройте, решите каким образов вы хотите достичь цели, потом обращайтесь.
я вас не правильно понял.
можно проксю с авторизацией....

Илья · 22 августа 2014, 11:03:36

Вопрос в следующем что я не фига не понял гуглю второй день, не фига сообразить не могу, вот поэтому и прошу помощи...походу я туплю...

ogost · 22 августа 2014, 11:08:48

вариантов масса, можно firewall, маршрутизация, dns, прокси, как я уже говорил...
контора или домашняя сеть? клиентов много? AD есть?

Илья · 22 августа 2014, 11:12:31

небольшая контора, компов 30, что такое AD? если можно поподробней хотя бы об одном способе...

Илья · 22 августа 2014, 11:14:20

да плюс ко всему есть gre тунель нужно сделать так что бы вся инфа проходящая через этот тунель не блочилась

ogost · 22 августа 2014, 11:27:16

какого именно результата хотите добиться? чтоб у части клиентов вовсе отсутствовал инет? или толко к отдельным сайтам/сервисам?
Active Directory - гуглите, микрософт. позволяет централизованно рулить виндовыми юзверями + прочее администрирование
лучше погуглите что есть что

endru · 22 августа 2014, 11:36:08

гуглите про прозрачный прокси сервер (например squid3)

Илья · 22 августа 2014, 11:37:11

нет инет нужен всем, но у части клиентов был доступ к строго определенным сайтам, Active Directory нет...

endru · 22 августа 2014, 12:43:24

Цитата: Илья от 22 августа 2014, 11:37:11нет инет нужен всем

а кто говорит что при прозрачном прокси интернета ни у кого не будет?
сначала узнайте как работает, поставьте, посмотрите как работает, и блокируйте пользователей по IP например!

Илья · 22 августа 2014, 14:24:20

по ip блочить не вариант как я понимаю при dhcp он будет менять адреса в таком случае сетку нужно переводить на динамические адреса я правильно понимаю? или я ошибаюсь

gardarea51 · 22 августа 2014, 15:36:45

Если контора небольшая, то можно в настройках dhcp-сервера привязать MAC-адреса неугодных клиентов на определенные IP-адреса (чтобы они всегда получали имено эти адреса). Далее через iptables заворачивать трафик на 80й порт на порт установленного squid. В squid написать правила. Также через iptables заблокировать неугодным все порты, кроме 80, 443, 53.. и еще какие там нужны. Если свитчи в конторе управляемые, то неугодных можно поместить в отдельный vlan (настроить dhcp на работу в этом vlan тоже) и без всякой привязки MAC-IP разобраться с пользователями этого vlan с помощью iptables/squid.

gardarea51 · 22 августа 2014, 17:25:35

А вообще - напишите подробнее что у вас как, дайте конфиг dhcp, сетевых интерфейсов (ip a l). Поможем, чем сможем..

sandaksatru · 23 августа 2014, 17:33:57

Гуглите в сторону AD+Kerberos+Squid. Либо можно сэкономить кучу времени и приобрести какой-нибудь простенький маршрутизатор корпоративного уровня, типа ZyXEL ZyWALL USG 20 там это всё "искаропки" есть. Но если блочить не по ip-адресам, а по группам пользователей, то всё равно надо AD поднимать и LDAP-аутентификацию настраивать. Сразу скажу, задача для вашего уровня в любом случае будет сложна...