Routing nach Benutzern
Routing nach Benutzern
Hallo,
Ist es möglich das ich bestimmten Benutzern das surfen im Internet von verschiedenen Rechnern erlauben kann und anderen nicht? Wenn ja was muss ich machen, das es funktioniert?
Der Router: SuSE 7.0
Clients: Win98, WinNT 4.0 und Mandrake 8.0
Schönen Sonntag noch
Dieter
Ist es möglich das ich bestimmten Benutzern das surfen im Internet von verschiedenen Rechnern erlauben kann und anderen nicht? Wenn ja was muss ich machen, das es funktioniert?
Der Router: SuSE 7.0
Clients: Win98, WinNT 4.0 und Mandrake 8.0
Schönen Sonntag noch
Dieter
Re: Routing nach Benutzern
Du kannst das Masquerading für einzelne Rechner-IP's ausschalten.
LFS - mehr als eine Distribution <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Re: Routing nach Benutzern
Ich dachte jetzt eigentlich mehr nach Benutzergruppen und nicht nach Rechnern.So das eine Person von einem Rechner ins Internet darf und eine andere vom gleichen PC nicht.
Re: Routing nach Benutzern
$USER und $UID lässt sich ja abfragen, das Problem ist dann wohl, dass sich mehrere Leute theoretisch an einem Rechner einloggen könnten.
Re: Routing nach Benutzern
Ich habe es selber noch nicht ausprobiert, aber mit 2.4 / iptables geht das auf jeden Fall.
Dazu muss der "Owner match support" (CONFIG_IP_NF_MATCH_OWNER) im Kernel unter "Networking options -> IP: Netfilter Configuration" aktiviert sein.
Achtung - der Menüpunkt ist beim 2.4.4 noch experimentiell, also sicherstellen, dass "Code maturity level options -> Prompt for development and/or incomplete code/drivers" (CONFIG_EXPERIMENTAL) auf y gesetzt ist, sonst wirst du lange nach der Option suchen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">.
Du hast nun die Möglichkeit, mit iptables Regeln aufzustellen, die nur (oder eben explizit nicht) Pakete betreffen, die von einem Prozess mit einer Bestimmten UID / GID erstellt wurden.
Für näheres siehe "man iptables" unter "MATCH EXTENSIONS" bei "owner".
Ich habe es aber wie gesagt selber noch nicht ausprobiert, und glaube auch nicht, dass damit das geht, was du realisieren willst (da die Pakete ja nicht vom lokalen Rechner kommen, und der Paketfilter u.U. gar keine Möglichkeit mehr hat, zurückzuverfolgen, von welchem User auf dem anderen Rechner das Paket stammt).
Trotzdem fällt mir im Moment auch nicht mehr ein.
Dazu muss der "Owner match support" (CONFIG_IP_NF_MATCH_OWNER) im Kernel unter "Networking options -> IP: Netfilter Configuration" aktiviert sein.
Achtung - der Menüpunkt ist beim 2.4.4 noch experimentiell, also sicherstellen, dass "Code maturity level options -> Prompt for development and/or incomplete code/drivers" (CONFIG_EXPERIMENTAL) auf y gesetzt ist, sonst wirst du lange nach der Option suchen <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">.
Du hast nun die Möglichkeit, mit iptables Regeln aufzustellen, die nur (oder eben explizit nicht) Pakete betreffen, die von einem Prozess mit einer Bestimmten UID / GID erstellt wurden.
Für näheres siehe "man iptables" unter "MATCH EXTENSIONS" bei "owner".
Ich habe es aber wie gesagt selber noch nicht ausprobiert, und glaube auch nicht, dass damit das geht, was du realisieren willst (da die Pakete ja nicht vom lokalen Rechner kommen, und der Paketfilter u.U. gar keine Möglichkeit mehr hat, zurückzuverfolgen, von welchem User auf dem anderen Rechner das Paket stammt).
Trotzdem fällt mir im Moment auch nicht mehr ein.
Re: Routing nach Benutzern
Wenn du mit Surfen im Inet nur HTTP meist wird Squid deinen wunsch erfüllen. Das ist ein HTTP Proxy.
Ansonsten hast du ein Problem
Ansonsten hast du ein Problem
Re: Routing nach Benutzern
Im falle der Windows-Clients könntest du mithilfe von WINS die IPs der Benutzernamen erfahren, die gerade eingeloggt sind. Dann könntest du diese IP's mit ipchains sperren.
Müßte so was nicht auch mit SOCKS5 gehen?
Müßte so was nicht auch mit SOCKS5 gehen?
Re: Routing nach Benutzern
man könnte ja auch das opt/kde/bin/startkde script ( als beispiel ) dazu benutzen, den internetzugang nach $UID zu öffnen:
#!/bin/bash
for i in 500 502 505 506; do
test $i -eq $UID && echo "schalte internet ein" && exit 0
done
echo "schalte internet aus"
exit 1
#!/bin/bash
for i in 500 502 505 506; do
test $i -eq $UID && echo "schalte internet ein" && exit 0
done
echo "schalte internet aus"
exit 1
Re: Routing nach Benutzern
Hallo,
das hört sich ja sehr gut an. Werde ich doch gleich mal testen, ob das ganze auch funktioniert.
Mfg
Dieter
das hört sich ja sehr gut an. Werde ich doch gleich mal testen, ob das ganze auch funktioniert.
Mfg
Dieter