URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2441
[ Назад ]

Исходное сообщение
"authpf"
Отправлено slb , 22-Ноя-05 18:59

На форуме уже обсуждалась тема конфигурации authpf + pf. Приводились ссылки на man-страницы,куча обсуждений и т.п.,а вот как настроить ничего толком небыло. Конфигурация какая-то запутанная. Если у кого работает эта связка, пришлите пожалуйста образец конфигурационных файлов authpf.conf,authpf.rules,pf.conf(как я понял нужны только они). Для простоты предположим, что есть пользователь XXX и ему необходимо открыть nat в интернет после его авторизации.
P.S. Конф.файлы можно отправить на s-erj@yandex.ru

Содержание

authpf,_Ale_, 14:03 , 23-Ноя-05
- authpf,slb, 22:27 , 23-Ноя-05
  - authpf,slb, 23:10 , 23-Ноя-05
    - authpf,_Ale_, 13:01 , 24-Ноя-05
      - authpf,slb, 22:56 , 24-Ноя-05
        
        authpf,_Ale_, 13:35 , 25-Ноя-05

Сообщения в этом обсуждении

"authpf"
Отправлено _Ale_ , 23-Ноя-05 14:03

http://www.opennet.me/base/sec/authpf_auth.txt.html
сделай как в статье, если не получится - спрашивай.

"authpf"
Отправлено slb , 23-Ноя-05 22:27

Ничего не выходит!
В процессе авторизации на мгновение появляется окно шелла, и пропадает.
Может что-то с правами доступа к файлам authpf надо сделать7

"authpf"
Отправлено slb , 23-Ноя-05 23:10

Причем когда я добавляю правила вручную:
#pfctl -a authpf -f /etc/authpf.rules
, то все работает. А вот через ssh болт.

"authpf"
Отправлено _Ale_ , 24-Ноя-05 13:01

>Причем когда я добавляю правила вручную:
>#pfctl -a authpf -f /etc/authpf.rules
>, то все работает. А вот через ssh болт.
Итак, по порядку
На gateway делаем следующее.
В /etc/shells:
/usr/sbin/authpf
Потом
useradd -G users -s /usr/sbin/authpf testuser
passwd testuser
в pf.conf:
table <authpf_users> persist
nat on $ext_if inet from <authpf_users> to any -> ($ext_if)
Потом на компутер юзверя скачиваем
http://the.earth.li/~sgtatham/putty/latest/x86/plink.exe
делаем bat-файл
C:\path\plink.exe -pw <password> testuser@_IP_adress_gateway
Запускаем его и проверяем на gateway
pfctl -t authpf_users -Tshow
здесь должен появиться IP-адрес компутеря юзверя
Все!
P.S. Правила НАТа можно менять как хочешь, ключевым должно быть присутствие from <authpf_users>

"authpf"
Отправлено slb , 24-Ноя-05 22:56

Сейчас ситуация следующая( настроил без <authpf_users>
pf работает
authpf добавляет правила в anchor, если оно относится к rdr, а вот правила с nat или pass нехотят подгружаться, в var/log/messages прописывается syntax error in rule file: authpf rules not loaded
Хотя я пишу nat on rl0 from xx.xx.xx.xx to any -> rl0, так у меня прописано в pf.conf
А по твоему варианту таблицу <authpf_users> наверно надо где-то прописать?

"authpf"
Отправлено _Ale_ , 25-Ноя-05 13:35

>А по твоему варианту таблицу <authpf_users> наверно надо где-то прописать?
не надо
Я же расписал все по шагам, ничего не утаил =)