Portál AbcLinuxu, 10. května 2025 08:45

Dotaz: firewall - pristup do site na zaklade autentikace

20.1.2011 20:17 rojko20
firewall - pristup do site na zaklade autentikace
Přečteno: 267×
Odpovědět | Admin
je nejaka moznost upravovat firewall na zaklade autentikace uzivatelu ?

Potreboval bych omezit pristup do jedne privatni subsite na zaklade autentikace (idelane pres ldap z AD).

Teda kdyz se auntetikuje povolit pristup do subsite, jinak zakaz. Jde o veskery provoz nejen http.

Jde to vubec ?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

20.1.2011 20:22 a1bert | skóre: 23
Rozbalit Rozbalit vše Re: firewall - pristup do site na zaklade autentikace
Odpovědět | | Sbalit | Link | Blokovat | Admin
openvpn + pam
20.1.2011 21:31 NN
Rozbalit Rozbalit vše Re: firewall - pristup do site na zaklade autentikace
Odpovědět | | Sbalit | Link | Blokovat | Admin
802.1x + vlan

NN
vencour avatar 20.1.2011 21:38 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: firewall - pristup do site na zaklade autentikace
Odpovědět | | Sbalit | Link | Blokovat | Admin

Viz předchozí odpovědi, když přiblížíte, na čem to chcete/můžete/musíte filtrovat, pak dostanete bližší odpovědi. Nebo začínáte budovat infrastrukturu od začátku?

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
21.1.2011 07:45 rojko20
Rozbalit Rozbalit vše Re: firewall - pristup do site na zaklade autentikace
jedna se o stavajici infrastrukturu.

Kdyz to zjednodusim:

Je router (debian 5), - eth1 (LAN1), vnitrni sit, kde jsou pripojeni lokalni uzivatele,

- eth0 (internet)

- pouzity jsou iptables pro filtrovani a PAT

Pak je tady jeste nekolik vzdalenych subsiti(servisnich), ktere nejsou primo pripojeny k tomuto routeru, ale protoze klienti maji router nastaven jako gw, provoz do nich by se dal z routeru ridit.

A tady bych potreboval aby router povolil pristup z LAN1 do techto subsiti na zaklade nejakeho overeni (nikoli na zaklade zdrojove IP adresy klienta).

Jinak servisni subsite, jsou privatni subsite vzdalenych klientu, ktere jsou pres openvpn pripojeny k nasemu openvpn serveru (jedna se o jiny server). Takze jsou normalne pristupne.

Takze aby router nepovoloval pristup do servisnich subsiti z jakekoli IP adresy z LAN1, ale jen ty ktere se overi pres uzivatelske jmeno a heslo.

Ucelem tohoto je vzdalena spravu pocitacu, ktere jsou v servisnich sitich

21.1.2011 16:21 NN
Rozbalit Rozbalit vše Re: firewall - pristup do site na zaklade autentikace
Tak potom je ten predchozi navrh vhodnejsi. Na brane si udelas si openvpn server, kde v konfiguraci nastavis prislusne pristupy pro konkretni skupiny:

Configuring client-specific rules and access policies

Na firewallu si pripravis prostupy, ktere se naroutuji klientovi az po autentizaci, napriklad prez zminovany PAM, pripadne jiny modul.

NN

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.