From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <46584DE0.3080608@rambler.ru> Date: Sat, 26 May 2007 18:10:24 +0300 From: Olvin User-Agent: Mozilla Thunderbird 1.0.8 (X11/20060422) X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: <46527798.2060307@stc.donpac.ru> <200705221050.33456.skompan@kspu.kr.ua> <4652A382.7040808@stc.donpac.ru> <20070522112035.45994673@shadow.orionagro.com.ua> <4653C03A.7020100@stc.donpac.ru> <46546166.4040800@neural.ru> <2b6384730705250443h45f75b22u8bf601d34eda8d1c@mail.gmail.com> <4657D6D1.5010105@rambler.ru> <46593913.5030600@stc.donpac.ru> In-Reply-To: <46593913.5030600@stc.donpac.ru> Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] =?koi8-r?b?c3F1aWQgOiDBzsHMz8cgbnRsbSDEzNEgbGludXgt?= =?koi8-r?b?y8zJxc7Uz9c=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 26 May 2007 15:10:34 -0000 Archived-At: List-Archive: Eugene Prokopiev пишет: >>>>>>если это терминал сервер(на линуксе), то может получится использовать >>>>>>iptables (он вроде умеет uid различать) >>>>>Не получится... эта поддержка нифига не пашет как надо! >>Пашет. Только для исходящего трафика. > Говорили вроде, что не работает на smp. Вы проверяли, все нормально? Про SMP не знаю. >>>>Кстати, я когда делал аналогичную штуку, обратил внимание что iptables >>>>умеет различать uid только для исходящего трафика. Для входящего не >>>>умеет. Но в таком случае, можно действительно каждому пользователю >>>>выдать его личный Ip-шник и делать так: >>>>-A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT >>>>-A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT >>>>-A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT >>>>-A OUTPUT -s 192.168.100.0/24 -j REJECT >>>интересно как тогда выглядит таблица маршрутизации :) ? >>>возможно получится через iproute сделать маршрутизацию. >>Основной затык как раз в маршрутах. Они отрабатывают ещё до этих правил. >>А так можно было бы сделать алиасы и действительно по адресам >>разруливать и считать... > А причем тут, собственно, маршруты, и как они могут помочь? Требуется, > чтобы пакеты с --uid-owner user1 уходили с определенного адреса, и > едиственный способ, который приходит мне в голову - это SNAT SNAT работает уже после того, как принято решение о маршруте. > Можно сформулировать задачу более общим образом, не привязываясь к > первоначальной постановке с разделением трафика по пользователям. > Допустим, наша нашина имеет интерфейс eth0 с адресами 10.0.0.101 > 10.0.0.102 10.0.0.103, шлюз - 10.0.0.1, на машине запущено приложение, > привязанное к адресу 0.0.0.0. С какого адреса уйдут пакеты этого > приложения Т.е. какой адрес источника будет у исходящих пакетов? Это можно с помощью SNAT. > и можно ли как-то влиять на этот процесс? Можно. SNAT. Но в случае с интернет-выходом так просто не получится. Что бы работала предложенная вами схема, нужно, чтобы провайдер выделил IP-адреса в количестве, равном предполагаемому количеству интернет-пользователей. Причём сразу. Это по деньгам не все могут себе позволить.