Autentikált gateway

Linux-haladó

Autentikált gateway

  • 694 megtekintés

( misu | 2005. 04. 13., sze – 17:18 )

Helló Mindenkinek!

Kellene nekem valami megoldás, hogy a gateway csak autentikáció után engedjen ki emberkéket a netre, a samba által hitelesített gateway nem jó, amit találtam eddig az a NuFW, ez jó is lenne csak a windows-os kliens hozzá fizetős.
Tud valaki valami jó free megoldást.

Üdv.: Misu

( E-Medve v | 2005. 04. 13., sze – 17:29 )

[quote:5e8c61f277="misu"]Helló Mindenkinek!

Kellene nekem valami megoldás, hogy a gateway csak autentikáció után engedjen ki emberkéket a netre, a samba által hitelesített gateway nem jó, amit találtam eddig az a NuFW, ez jó is lenne csak a windows-os kliens hozzá fizetős.
Tud valaki valami jó free megoldást.

Üdv.: Misu

Ha wirelesshez kell (lehet hogy kabelhez is jo), probald meg ezt: www.nocat.net
Egy csomo helyrol tud auth-olni...

Udv: E-Medve

( trey | 2005. 04. 13., sze – 17:31 )

[quote:12177592ba="misu"]Helló Mindenkinek!

Kellene nekem valami megoldás, hogy a gateway csak autentikáció után engedjen ki emberkéket a netre, a samba által hitelesített gateway nem jó, amit találtam eddig az a NuFW, ez jó is lenne csak a windows-os kliens hozzá fizetős.
Tud valaki valami jó free megoldást.

Üdv.: Misu

A netre mit jelent? Transzparens proxy + auth nem jo?

( FoREE | 2005. 04. 13., sze – 17:37 )

[quote:6756367edb="trey"]
A netre mit jelent? Transzparens proxy + auth nem jo?

Erdekelne, hogy van-e ingyenes megoldas erre (csak a squidet ismerem, de az a kettot egyutt nem tudja)

( dragi v | 2005. 04. 13., sze – 17:44 )

Ez engem is erdekelne, teljes netre, tehat nem csak web.

Dhcp-vel osszekotve lenne az igazi.

( polya v | 2005. 04. 13., sze – 17:46 )

tudja (squid)- inkabb az a gond vele hogy csak http proxyzhato dolgokkal megy egy socks-al kiegeszitve mindent at lehet paszirozni rajtuk csak sok macera kliensoldalon. ha a tuzfalat nem hasznalod szervernek is akkor pf + authpf.

( E-Medve v | 2005. 04. 13., sze – 17:46 )

[quote:74849a3e33="dragi"]Ez engem is erdekelne, teljes netre, tehat nem csak web.

Dhcp-vel osszekotve lenne az igazi.

Probald ki a NoCat-et... eredetileg wifihez van, de szerintem menne kabelen is...

( dragi v | 2005. 04. 13., sze – 17:49 )

Raneztem erre a nocatra, pl per pillanat doglott a wiki oldala, ami a doksi lenne. Majd azert kiprobalom.

( E-Medve v | 2005. 04. 13., sze – 17:50 )

[quote:9465c9687a="dragi"]Raneztem erre a nocatra, pl per pillanat doglott a wiki oldala, ami a doksi lenne. Majd azert kiprobalom.

Ami a TarGezaban volt doksi, annyi eleg... nekem legalabbis... de szivesen segitek, ha elakadsz...

( lacika v | 2005. 04. 13., sze – 18:32 )

Debian alatt van egy pptpd csomag. Nagyon egyszerű beállítani. Úgy kell a beállításában megadni, hogy más címosztályú IP címet osszon ki a bejelentkezett usernak, mint ami a belső hálózaté (de ez sem kötelező, csak áttekinthetőbb képet kapsz), és a tűzfaladban csak a bejelentkezett címosztályú ipket maszkolod. A kliens oldalra be kell állítani egy VPN kapcsolatot.

( dragi v | 2005. 04. 13., sze – 20:12 )

Na igen, de en nem vpn tunelt szeretnek, hanem "altalanos" authentikacios servert.

Illetve meg lenne egy olyan kerdesem is ha mar itt tartunk, hogy kereskedelmi cuccban (router) letezik-e ilyen authentikacios dolog?

( E-Medve v | 2005. 04. 13., sze – 20:23 )

[quote:2815f4a7a7="dragi"]Na igen, de en nem vpn tunelt szeretnek, hanem "altalanos" authentikacios servert.

Illetve meg lenne egy olyan kerdesem is ha mar itt tartunk, hogy kereskedelmi cuccban (router) letezik-e ilyen authentikacios dolog?

Szokas ha jol tudom (legalabbis itt Szegeden nehol) Cisco eszkozokkel authentikaltatni... de az a tipikusan megfizethetetlen kategoria...

( polya v | 2005. 04. 13., sze – 20:33 )

eleg relativ hogy mi a megfizethetetlen egy mistralos noname pchez kepest minden az. ahol az emberek nem karitativ tevekenysegkent dolgoznak(iskola stb) ott meg nem jelentos tobbletkoltseg egy pix, isa, zorp ill tarsaik.

( E-Medve v | 2005. 04. 13., sze – 20:43 )

[quote:4dfc6e9300="polya"]eleg relativ hogy mi a megfizethetetlen egy mistralos noname pchez kepest minden az. ahol az emberek nem karitativ tevekenysegkent dolgoznak(iskola stb) ott meg nem jelentos tobbletkoltseg egy pix, isa, zorp ill tarsaik.

A Cisco itt hardvereszkozt takar (router, ami authentikal...) Olyasmi mint a NoCat csak a Cisco hardveres...

( dragi v | 2005. 04. 13., sze – 21:04 )

Es egy ilyen router milyen arban mozog?
Vayg tudna valaki tipust ajanlani?

( misu | 2005. 04. 14., cs – 08:01 )

Nem kimondottan egy protokollra kell, hanem általában véve mindenre. Tehát a proxyzás nem a legjobb megoldás. Jelenleg van squid+dansguardian de csak a tartalomszűrés meg vírusszűrés miatt.

Local net (kb 600 gép) ---> Gateway ---> Net

Valahogy így néz ki a hálózat, a lényeg az lenne, hogy akinél nem fut valamilyen autentikáló kliens az ne tudjon netre kijutni, de azért a belső hálózatot lássa rendesen.
Novell-es file szervereink vannak, meg egy pár belső Web szerver, ezeket mindenképpen látnia kell. Jelenleg fix IP címek vannak és nem is nagyon akarnak DHCP-t engedni (nem tudom miért).

Ami a Zorp-ot illeti még tavaly kértem a BalaBit-től ajánlatot ami 1,5 misi volt belépéskor utána meg év 0,5 milla. Sajnos már a közvetlen főnökömnél elhalt a dolog.

Amiket eddig javasoltatok azoknak most fogok utánaolvasni.

( supageo | 2005. 04. 14., cs – 09:00 )

Mi sem egyszerübb:

Hát akkor a Gatewayen, feltételezve, hogy a belső hálózat az eth1:
iptables -A INPUT -i eth1 -s 192.168.0.2 -j ACCEPT
iptables -A INPUT -i eth1 -s hostname -j ACCEPT
iptables -A INPUT -i eth1 -j DROP

Most a Gateway minden csomagot eldob, kivéve a 192.168.0.2 és a hostname nevü gépét nem. De ezt lehet módosítani, hogy csak a 80-as porton legenek eldobva a csomagok, vagy csak bizonyos port legyen engedélyezve....

Ezt persze lehet okosabban is, meg kibővíteni is lehet más tűzfal szabályokkal... Valami ilyesmi esetleg... De ha mondasz több infót, akkor még profibb módon is meg lehet ezt csinálni... Akár php, meg webes felület a lista.txt töltésére...

#Meglévő szabályok törlése...
iptables -F
iptbales -X
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
...
validgepek=`cat lista.txt`

for i in $validgepek
do
iptables -A INPUT -s $i -j ACCEPT
done
iptables -A INPUT -j DROP

( misu | 2005. 04. 14., cs – 09:48 )

supageo kösz a javaslatot csak nem igazán felel meg nekem, el is mondom, hogy miért.

A gépek nagy részén win98 van (egy régi vacak DOS-os progi miatt amit nem lehet 2000, XP alatt beüzemelni) és itt ugyebár jelszó nélkül is be lehet jutni. A gond az, hogy a munka után valószínűleg a takarítók, vagy a biztonságiak leüldögélnek netezni és minden szart összeszednek a netről a gépek. Azt nem tehetem, hogy munkaidő lejárta után nincs net mert szoktak emberek benmaradni túlórázni és nekik kellhet.

Tehát ezért kellene valami olyan ahol a kliensen fut valami progi ami ha megkapja a rendes jelszót akkor van net he nem akkor meg nincs.

( congo v | 2005. 04. 14., cs – 09:53 )

én írnék a helyedben egy php v cgi portált, ami a felhasználó bejelentkezésekor beszúr néhány iptables szabályt. ha a session lejár, a szabályok törlődnek, és újra be kell jelentkezni...

innentől a fantáziádra van bízva :)

( misu | 2005. 04. 14., cs – 10:03 )

Én authentikáció alatt arra gondoltam, hogy a gateway azonosít minden csomagot, hogy a küldő gép be van-e authentikálva, ha igen akkor ACCEPT ha meg nem akkor DROP.
Amit congo mondott az jól hangzik, csak esetleg a munkaidő közben többszőr is be kell jelentkezni, vagy ha nagy időintervallumot hagyok akkor megintcsak az van, hogy esetleg más is hozzáférhet a nethez mert a munkaidő után is él az account.

Lehet, hogy a takarítókkal kellne kezdenem valamit.

( congo v | 2005. 04. 14., cs – 10:05 )

[quote:1acdfd6f60="misu"]Én authentikáció alatt arra gondoltam, hogy a gateway azonosít minden csomagot, hogy a küldő gép be van-e authentikálva, ha igen akkor ACCEPT ha meg nem akkor DROP.
Amit congo mondott az jól hangzik, csak esetleg a munkaidő közben többszőr is be kell jelentkezni, vagy ha nagy időintervallumot hagyok akkor megintcsak az van, hogy esetleg más is hozzáférhet a nethez mert a munkaidő után is él az account.

írd meg, hogy frissítgesse magát, akkor nem jár le a session, amíg kijelentkezéssel meg nem szünteti. ha meg nem jelentkezik ki... be kell tanítani a felhasználókat ;)

[quote:1acdfd6f60="misu"]Lehet, hogy a takarítókkal kellne kezdenem valamit.

végezz ki egyet nyilvánosan elrettentésképp :)