From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <46587EE7.4000709@stc.donpac.ru> Date: Sat, 26 May 2007 22:39:35 +0400 From: Eugene Prokopiev User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.7.2) Gecko/20040808 X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: <46527798.2060307@stc.donpac.ru> <200705221050.33456.skompan@kspu.kr.ua> <4652A382.7040808@stc.donpac.ru> <20070522112035.45994673@shadow.orionagro.com.ua> <4653C03A.7020100@stc.donpac.ru> <46546166.4040800@neural.ru> <2b6384730705250443h45f75b22u8bf601d34eda8d1c@mail.gmail.com> <4657D6D1.5010105@rambler.ru> <46593913.5030600@stc.donpac.ru> <46584DE0.3080608@rambler.ru> In-Reply-To: <46584DE0.3080608@rambler.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] =?koi8-r?b?c3F1aWQgOiDBzsHMz8cgbnRsbSDEzNEgbGludXgt?= =?koi8-r?b?y8zJxc7Uz9c=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 26 May 2007 18:35:54 -0000 Archived-At: List-Archive: Olvin пишет: > Eugene Prokopiev пишет: > >>>>>>>если это терминал сервер(на линуксе), то может получится использовать >>>>>>>iptables (он вроде умеет uid различать) >>>>>> >>>>>>Не получится... эта поддержка нифига не пашет как надо! >>> >>>Пашет. Только для исходящего трафика. >> >>Говорили вроде, что не работает на smp. Вы проверяли, все нормально? > > > Про SMP не знаю. > > >>>>>Кстати, я когда делал аналогичную штуку, обратил внимание что iptables >>>>>умеет различать uid только для исходящего трафика. Для входящего не >>>>>умеет. Но в таком случае, можно действительно каждому пользователю >>>>>выдать его личный Ip-шник и делать так: >>>>>-A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT >>>>>-A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT >>>>>-A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT >>>>>-A OUTPUT -s 192.168.100.0/24 -j REJECT >>>> >>>>интересно как тогда выглядит таблица маршрутизации :) ? >>>>возможно получится через iproute сделать маршрутизацию. >>> >>>Основной затык как раз в маршрутах. Они отрабатывают ещё до этих правил. >>>А так можно было бы сделать алиасы и действительно по адресам >>>разруливать и считать... >> >>А причем тут, собственно, маршруты, и как они могут помочь? Требуется, >>чтобы пакеты с --uid-owner user1 уходили с определенного адреса, и >>едиственный способ, который приходит мне в голову - это SNAT > > > SNAT работает уже после того, как принято решение о маршруте. > > >>Можно сформулировать задачу более общим образом, не привязываясь к >>первоначальной постановке с разделением трафика по пользователям. >>Допустим, наша нашина имеет интерфейс eth0 с адресами 10.0.0.101 >>10.0.0.102 10.0.0.103, шлюз - 10.0.0.1, на машине запущено приложение, >>привязанное к адресу 0.0.0.0. С какого адреса уйдут пакеты этого >>приложения > > > Т.е. какой адрес источника будет у исходящих пакетов? Это можно с > помощью SNAT. > > >>и можно ли как-то влиять на этот процесс? > > > Можно. SNAT. > Но в случае с интернет-выходом так просто не получится. Что бы работала > предложенная вами схема, нужно, чтобы провайдер выделил IP-адреса в > количестве, равном предполагаемому количеству интернет-пользователей. > Причём сразу. Это по деньгам не все могут себе позволить. ну зачем же столько реальных адресов? ;) они могут быть серыми, а в интернет попадать через один шлюз (возможно в соседнем VE с терминальным сервером) тоже с SNAT :) -- С уважением, Прокопьев Евгений