Ограничение доступа

Автор Илья, 22 августа 2014, 10:42:41

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

Илья

Здраствуйте я недавно познаю для себя DEBIAN так что не судите строго, имеется сервер на нем две сетевухи одна смотрит в инет, со второй раздается интернет через dhcp нужно сделать следующее для определенных пользователей заблокировать доступ в инет, точнее не полностью а частично, для всех остальных оставить открытым...как реализовать данную задачу, помогите

ogost

#1
чисто dhcp вам не поможет - максимум разбить на пулы с/без доступа в инет, неправильно выдавая адреса шлюза/днс. если есть админская учетка на хосте, то обходится элементарно - выставляются правильные настройки вручную. вариантов же ограничения доступа масса - погуглите, ликбез себе устройте, решите каким образов вы хотите достичь цели, потом обращайтесь.
я вас не правильно понял.
можно проксю с авторизацией....

Илья

Вопрос в следующем что я не фига не понял гуглю второй день, не фига сообразить не могу, вот поэтому и прошу помощи...походу я туплю...

ogost

вариантов масса, можно firewall, маршрутизация, dns, прокси, как я уже говорил...
контора или домашняя сеть? клиентов много? AD есть?

Илья

небольшая контора, компов 30, что такое AD? если можно поподробней хотя бы об одном способе...

Илья

да плюс ко всему есть gre тунель нужно сделать так что бы вся инфа проходящая через этот тунель не блочилась

ogost

какого именно результата хотите добиться? чтоб у части клиентов вовсе отсутствовал инет? или толко к отдельным сайтам/сервисам?
Active Directory - гуглите, микрософт. позволяет централизованно рулить виндовыми юзверями + прочее администрирование
лучше погуглите что есть что

endru

гуглите про прозрачный прокси сервер (например squid3)

Илья

нет инет нужен всем, но у части клиентов был доступ к строго определенным сайтам, Active Directory нет...

endru

Цитата: Илья от 22 августа 2014, 11:37:11нет инет нужен всем
а кто говорит что при прозрачном прокси интернета ни у кого не будет?
сначала узнайте как работает, поставьте, посмотрите как работает, и блокируйте пользователей по IP например!

Илья

#10
по ip блочить не вариант как я понимаю при dhcp он будет менять адреса в таком случае сетку нужно переводить на динамические адреса я правильно понимаю? или я ошибаюсь

gardarea51

Если контора небольшая, то можно в настройках dhcp-сервера привязать MAC-адреса неугодных клиентов на определенные IP-адреса (чтобы они всегда получали имено эти адреса). Далее через iptables заворачивать трафик на 80й порт на порт установленного squid. В squid написать правила. Также через iptables заблокировать неугодным все порты, кроме 80, 443, 53.. и еще какие там нужны. Если свитчи в конторе управляемые, то неугодных можно поместить в отдельный vlan (настроить dhcp на работу в этом vlan тоже) и без всякой привязки MAC-IP разобраться с пользователями этого vlan с помощью iptables/squid.

gardarea51

А вообще - напишите подробнее что у вас как, дайте конфиг dhcp, сетевых интерфейсов (ip a l). Поможем, чем сможем..

sandaksatru

Гуглите в сторону AD+Kerberos+Squid. Либо можно сэкономить кучу времени и приобрести какой-нибудь простенький маршрутизатор корпоративного уровня, типа ZyXEL ZyWALL USG 20 там это всё "искаропки" есть. Но если блочить не по ip-адресам, а по группам пользователей, то всё равно надо AD поднимать и LDAP-аутентификацию настраивать. Сразу скажу, задача для вашего уровня в любом случае будет сложна...