Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Шлюз  (Прочитано 1397 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн klaone

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Шлюз
« : 11 Январь 2017, 06:47:38 »
Здравствуйте. Есть два сервера, первый в роли шлюза, второй в роли dhcp. Задача: сделать на шлюзе статические ip с привязкой  для определенный группы человек.

Поднять шлюз не проблема, но если другой сотрудник пропишет данный шлюз, то он получит автоматом доступ минуя второй сервер.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз
« Ответ #1 : 11 Январь 2017, 07:13:56 »
Любимое словцо хомячков "пропишет" и "прописка"
Для доступа к ресурсам шлюза в качестве идентификатора необязательно использовать ip, есть и другие способы, например, по MAC-адресу.

если другой сотрудник пропишет данный шлюз
Да у Вас там бардак. Сотрудники должны заниматься возложенной на них работой, а не "прописывать" шлюзы
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн klaone

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Шлюз
« Ответ #2 : 11 Январь 2017, 07:20:55 »
Ваш пост конечно же оригинален, но может поможете...

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз
« Ответ #3 : 11 Январь 2017, 07:53:13 »
Я Вам и помогаю. Опираясь на предоставленные сведения, я предложил вариант решения проблемы.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн klaone

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Шлюз
« Ответ #4 : 11 Январь 2017, 08:08:42 »
Я Вам и помогаю. Опираясь на предоставленные сведения, я предложил вариант решения проблемы.

Пришёл сотрудник со своим ноутбуком, воткнул сетевой кабель и привет. Коммутаторов управляемых нет, администрация денег не даёт.

Поэтому нужно решение на самом сервере. Если у вас есть знания, что вам мешает помочь...


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз
« Ответ #5 : 11 Январь 2017, 08:45:49 »
Один из вариантов решения я Вам озвучил.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 860
    • Просмотр профиля
Re: Шлюз
« Ответ #6 : 11 Январь 2017, 12:02:54 »
Как вам и говорили, на втором шлюзе сделать привязку ip к Mac на dhcp сервере

Оффлайн Azure

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 6015
  • Windows10, i3wm on Debian9, Manjaro20.0
    • Просмотр профиля
Re: Шлюз
« Ответ #7 : 11 Январь 2017, 12:08:49 »
Задача: сделать на шлюзе статические ip
Это не «задача», а Ваш вариант решения. Научитесь правильно формулировать мысли, прежде чем предъявлять претензии.
Очевидно что задача состоит в ограничении доступа на внешнюю сеть. Решается это множеством способов: от установки ПО/настройки установленного на сервер-шлюзе до покупки коммутаторов. Определитесь по какому признаку/способу будет проводится разграничение. Коллега fisher74 один из вариантов(по МАС-адресу) Вам предложил.
« Последнее редактирование: 11 Январь 2017, 12:10:56 от Azure »
В Линукс можно сделать ВСЁ что угодно, достаточно знать КАК !

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз
« Ответ #8 : 11 Январь 2017, 12:29:20 »
привязку ip к Mac на dhcp сервере
только, учитывая "самостоятельность" пользователей, я предлагал привязываться к MAC-у непосредственно на шлюзе, а не на DHCP.
Хотя, конечно, второе (DHCP) вполне дополняет первое.

Я к тому, что DHCP это скорее удобняшка для админа, нежели средство распределения ресурсов сети.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 860
    • Просмотр профиля
Re: Шлюз
« Ответ #9 : 11 Январь 2017, 21:30:11 »
я предлагал привязываться к MAC-у непосредственно на шлюзе, а не на DHCP.
Объясните как это делается? А то я что то не понимаю принципа...
ACL листы по MAC делать на шлюзе?так? Т.е прописывать в ACL все mac компов кому разрешен доступ?


А не проще на шлюзе заблокировать выход в интернет для локальной сети,но разрешить для второго шлюза?

« Последнее редактирование: 11 Январь 2017, 21:39:02 от djrust »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз
« Ответ #10 : 11 Январь 2017, 22:37:32 »
Это смотря какими средствами организован шлюз, klaone-же это в секрете держит.
Если кальмар, то acl-ы, если netfilter, то --mac-source

ЗЫ повторюсь: фильтрация по mac не единственный и не лучший способ для озвученной задачи
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн klaone

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Шлюз
« Ответ #11 : 12 Январь 2017, 04:18:41 »
ЗЫ повторюсь: фильтрация по mac не единственный и не лучший способ для озвученной задачи

А какой еще? Кальмар не используется на шлюзе. Задача шлюза в роли фаервола. Защита от внешней сети, пропуск нескольких сотрудников в обход второго сервера, запрет использования шлюза для остальных сотрудников. DHCP на шлюзе не используется

Вот ниже приведенные правила решат мою задачу?
iptables -A FORWARD -m mac --mac-source 00:0F:EA:91:04:08 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:0F:EA:90:07:05 -j ACCEPT
iptables -A FORWARD -j DROP

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз
« Ответ #12 : 12 Январь 2017, 07:49:05 »
Решат,но не полностью. Да и выбранный алгоритм, мягко говоря, не очень...
По порядку.
Почему "не полностью". Потому что не обеспечен проход обратного трафика. Т.е. получилась система "ниппель" - туда дуй, а оттуда фиг. Хотя вполне вероятно, что это уже сделано, ведь полный список правил мы не видели.

Почему "алгоритм не очень". В описанном алгоритме применяется политика пропуска пакетов "всем разрешено, кроме...". В данном конкретном случае, лучше применить политику "всем запрещено, кроме...". Делается это изменением действия по умолчанию для цепочки FORWARD (в данном конкретном случае)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн klaone

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Шлюз
« Ответ #13 : 12 Январь 2017, 08:00:15 »
В данном конкретном случае, лучше применить политику "всем запрещено, кроме...". Делается это изменением действия по умолчанию для цепочки FORWARD (в данном конкретном случае)

Напишите пожалуйста правила, как это должно быть. Правил пока никаких на шлюзе нет.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз
« Ответ #14 : 12 Январь 2017, 08:22:56 »
sudo iptables FORWARD -P DROP
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -m mac --mac-source 00:0F:EA:91:04:08 -j ACCEPT
sudo iptables -A FORWARD -m mac --mac-source 00:0F:EA:90:07:05 -j ACCEPT
... e.t.c.
Такая политика удобна для новичка... да и не только.
При такой политике, при добавлении нового "клиента" не нужно высчитывать, каким по счёту должно быть правило, чтобы оказаться раньше DROP (иначе оно не сработает)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.229 секунд. Запросов: 25.