From: Eugene Prokopiev <prokopiev@stc.donpac.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] squid : аналог ntlm для linux-клиентов
Date: Sat, 26 May 2007 22:39:35 +0400
Message-ID: <46587EE7.4000709@stc.donpac.ru> (raw)
In-Reply-To: <46584DE0.3080608@rambler.ru>
Olvin пишет:
> Eugene Prokopiev пишет:
>
>>>>>>>если это терминал сервер(на линуксе), то может получится использовать
>>>>>>>iptables (он вроде умеет uid различать)
>>>>>>
>>>>>>Не получится... эта поддержка нифига не пашет как надо!
>>>
>>>Пашет. Только для исходящего трафика.
>>
>>Говорили вроде, что не работает на smp. Вы проверяли, все нормально?
>
>
> Про SMP не знаю.
>
>
>>>>>Кстати, я когда делал аналогичную штуку, обратил внимание что iptables
>>>>>умеет различать uid только для исходящего трафика. Для входящего не
>>>>>умеет. Но в таком случае, можно действительно каждому пользователю
>>>>>выдать его личный Ip-шник и делать так:
>>>>>-A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT
>>>>>-A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT
>>>>>-A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT
>>>>>-A OUTPUT -s 192.168.100.0/24 -j REJECT
>>>>
>>>>интересно как тогда выглядит таблица маршрутизации :) ?
>>>>возможно получится через iproute сделать маршрутизацию.
>>>
>>>Основной затык как раз в маршрутах. Они отрабатывают ещё до этих правил.
>>>А так можно было бы сделать алиасы и действительно по адресам
>>>разруливать и считать...
>>
>>А причем тут, собственно, маршруты, и как они могут помочь? Требуется,
>>чтобы пакеты с --uid-owner user1 уходили с определенного адреса, и
>>едиственный способ, который приходит мне в голову - это SNAT
>
>
> SNAT работает уже после того, как принято решение о маршруте.
>
>
>>Можно сформулировать задачу более общим образом, не привязываясь к
>>первоначальной постановке с разделением трафика по пользователям.
>>Допустим, наша нашина имеет интерфейс eth0 с адресами 10.0.0.101
>>10.0.0.102 10.0.0.103, шлюз - 10.0.0.1, на машине запущено приложение,
>>привязанное к адресу 0.0.0.0. С какого адреса уйдут пакеты этого
>>приложения
>
>
> Т.е. какой адрес источника будет у исходящих пакетов? Это можно с
> помощью SNAT.
>
>
>>и можно ли как-то влиять на этот процесс?
>
>
> Можно. SNAT.
> Но в случае с интернет-выходом так просто не получится. Что бы работала
> предложенная вами схема, нужно, чтобы провайдер выделил IP-адреса в
> количестве, равном предполагаемому количеству интернет-пользователей.
> Причём сразу. Это по деньгам не все могут себе позволить.
ну зачем же столько реальных адресов? ;)
они могут быть серыми, а в интернет попадать через один шлюз (возможно в
соседнем VE с терминальным сервером) тоже с SNAT :)
--
С уважением, Прокопьев Евгений
next prev parent reply other threads:[~2007-05-26 18:39 UTC|newest]
Thread overview: 15+ messages / expand[flat|nested] mbox.gz Atom feed top
2007-05-22 4:54 Eugene Prokopiev
2007-05-22 7:50 ` Serge
2007-05-22 8:02 ` Eugene Prokopiev
2007-05-22 8:20 ` Dmitriy L. Kruglikov
2007-05-23 4:16 ` Eugene Prokopiev
2007-05-23 15:44 ` Ivan Fedorov
2007-05-25 11:43 ` Nick Gavrikov
2007-05-25 22:29 ` Alexey Shabalin
2007-05-26 6:42 ` Olvin
2007-05-27 7:53 ` Eugene Prokopiev
2007-05-26 15:10 ` Olvin
2007-05-26 18:39 ` Eugene Prokopiev [this message]
2007-05-27 4:51 ` Olvin
2007-05-27 6:35 ` Eugene Prokopiev
2007-05-29 7:53 ` Alex Gorbachenko
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=46587EE7.4000709@stc.donpac.ru \
--to=prokopiev@stc.donpac.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git