URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2970
[ Назад ]

Исходное сообщение
"Pf "
Отправлено Scar , 17-Окт-06 20:10

Всем доброго времени суток, подскажите пожалуйста, какие правила в PF нужно прописать чтобы разграничить права пользователей на инет. Например группе goodgays разрешить всё, а остальным только почту и аську. На серваке нет squida. Кто делал такое выложите свой конфиг. Заранее благодарю.

Содержание

Pf ,_Ale_, 23:01 , 17-Окт-06
- Pf ,Geek, 01:30 , 19-Окт-06
  - Pf ,_Ale_, 13:34 , 19-Окт-06
    - Pf ,scar, 22:59 , 03-Дек-06
Pf ,idle, 20:13 , 06-Дек-06
- Pf ,scar, 15:41 , 07-Дек-06
  - Pf ,ZippeR, 17:46 , 18-Июл-07

Сообщения в этом обсуждении

"Pf "
Отправлено _Ale_ , 17-Окт-06 23:01

стандартными средствами разграничить можно только по ИП
то есть берешь стандартные правила НАТ из примеров и пишешь - каким-то ИП натишь все, каким-то - только почту и аську. Надеюсь врубился...

"Pf "
Отправлено Geek , 19-Окт-06 01:30

>стандартными средствами разграничить можно только по ИП
>то есть берешь стандартные правила НАТ из примеров и пишешь - каким-то
>ИП натишь все, каким-то - только почту и аську. Надеюсь врубился...
>
Можно :) стандартными средствами
authpf
На этой базе для каждого пользователя индивидуально можно составлять правила :)

"Pf "
Отправлено _Ale_ , 19-Окт-06 13:34

>Можно :) стандартными средствами
>authpf
>На этой базе для каждого пользователя индивидуально можно составлять правила :)
согласен, только ведь придется запускать отдельно каждому на компе батник
не всем это нравится

"Pf "
Отправлено scar , 03-Дек-06 22:59

Пробовал НАТом играть сто разных изменений делал, ничего не получаестся, может кто сталкивался с такой проблемой или может у кого есть рабочий конфиг, помогите кто чем может. Буду очень признателен и благодарен!!!
у меня конфиг такого вида:
...
table <adm> { 192.168.1.1, 192.168.1.2 }
table <users> { 192.168.1.0/24, !192.168.1.1, !192.168.1.2 }
...
nat on $ext_if inet from <adm> to any -> ($ext_if)
nat on $ext_if inet from <users> to any port { 110, 443, 25 } ->($ext_if)
...
где что не так?

"Pf "
Отправлено idle , 06-Дек-06 20:13

>Всем доброго времени суток, подскажите пожалуйста, какие правила в PF нужно прописать
>чтобы разграничить права пользователей на инет. Например группе goodgays разрешить всё,
>а остальным только почту и аську. На серваке нет squida. Кто
>делал такое выложите свой конфиг. Заранее благодарю.
man pf.conf
block all
pass out all group $goodguys keep state
pass out proto tcp to any port 25 group $badguys keep state

Ээ, сорри неврубился где у автора топика группы.

"Pf "
Отправлено scar , 07-Дек-06 15:41

>man pf.conf
>
>block all
>pass out all group $goodguys keep state
>pass out proto tcp to any port 25 group $badguys keep state
>
>
>
>Ээ, сорри неврубился где у автора топика группы.
Вот с группами не разу не работал, как их применить? Если буду использовать группы, то правила nat как будут выглядеть?

"Pf "
Отправлено ZippeR , 18-Июл-07 17:46

>>man pf.conf
>>
>>block all
>>pass out all group $goodguys keep state
>>pass out proto tcp to any port 25 group $badguys keep state
>>
>>
>>
>>Ээ, сорри неврубился где у автора топика группы.
>
>Вот с группами не разу не работал, как их применить? Если буду
>использовать группы, то правила nat как будут выглядеть?

block return in log from <ICQ_mail_only>
pass in proto tcp from <ICQ_mail_only> to any port {25 110 5190} flags S/SA modulate state
Вот