Обсуждение статьи тематического каталога: Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd)

Ссылка на текст статьи: http://www.opennet.me/base/sec/authpf_auth.txt.html

• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),Andriy, 22:54 , 20-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),Burder, 11:43 , 21-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),ffoton, 12:54 , 21-Сен-05
  • Авторизация пользователей в сети при помощи authpf (auth pf ...,ShyLion, 15:04 , 21-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),nnmd, 13:02 , 21-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),i_destr, 14:36 , 21-Сен-05
  • Авторизация пользователей в сети при помощи authpf (auth pf ...,sergey, 19:35 , 21-Ноя-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),Chris, 15:21 , 21-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),Serg77, 15:45 , 21-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),rage, 18:18 , 21-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),Av, 22:36 , 21-Сен-05
  • Авторизация пользователей в сети при помощи authpf (auth pf ...,fa, 22:46 , 21-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),vip3r, 13:18 , 23-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),Viktor, 12:42 , 26-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),Viktor, 12:46 , 26-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall openbsd),Celcion, 09:50 , 28-Сен-05
• Авторизация пользователей в сети при помощи authpf (auth pf firewall o,hmd, 23:27 , 07-Окт-07

полезно и актуально, а как ето под linux сделать?

Да интересная идея , под Linux не помешало-бы такое!

классная идейка :)
только как быть, если юзер захочет с другого компа в инет выйти?

> классная идейка :)
> только как быть, если юзер захочет с другого компа в инет выйти?
какая разница? на файрволе прописывается тот айпи, с которого есть ssh соединение. как только соединение обрывается, эти правила с файрвола извлекаются.

Думаете, что никто не догадается сначала поменять свой ip на ip foobar'a и только после этого авторизоваться?

> Думаете, что никто не догадается сначала поменять свой ip на ip foobar'a и только после этого авторизоваться?

Это не комментарий по теме. Скорее, совет должен называться так: как по максимуму упростить процесс авторизации пользователей в домашних сетях не прибегая к установке дополнительных наворотов, таких как радиус, мпд, впн и иже с ними.

Что же касается вашего комментария, то ответ сводится к следующему: как покруче заныкать свою базу паролей, чтобы никто из пользователей сети ее не смог получить. Ситуация, когда любой пользователь знает пароль любого пользователя сводит на нет любые программные реализации процесса авторизации (прямо стихами:)), будь то ВПН, будь то любая примочка клиент-серверного исполнения c изменением фаервольных правил.

Автору респект за совет, буду смотреть наличие подобного решения в FreeBSD

Прочитал все ссылки на OpenBSD и все равно для меня остается непонятным следующее:
1.как прикрутить authpf к пакетному фильтру pf
2.что должно быть в конф.файле /etc/authpf/authpf.conf
3. как anchor должен быть прописан в /etc/pf.conf

Если у кого имеюся образцы конф.фойлов authpf.conf, pf.conf ну и authpf.rules то пришлите плиз или дайте ссылку.

А нахрена? Вот в чем вопрос, такие биллинговые системы как UTM позволяют это делать пользователю из веб интерфейса. Потом VPN не кончается MPD'шкой... Есть ещё и PPTP или PPPOE тот же... чем они громозки?

Насчет спирта, конечно Форма уважаю, но пока делать там netflow ещё бы... а то если обьем трафика большой памяти не хватает...

А я считаю, что этот способ слишком громоский. Проще поставить и настроить STARGAZER!

1)зачем arpwatch, можно просто тупо связать пары mac+ip.
2)можно использовать pppoe
3)трафик считать с помощью netams(благо, способов сбора трафика он умеет много).

Даже в этом случае можно без проблем своровать трафик у уже авторизованного клиента - это решение только "на время" (пока клиенты не научаться обманывать эту систему)

Расскажите, как это сделать без проблем. Читал уже подобное обсуждение. Можно сменить ip/mac на ip/mac авторизованного пользователя, в данный момент находящегося в сети. Тогда из-за конфликта мак-адресов клиент или нарушитель вылетят из сети, либо оба будут работать с огромными тормозами. То есть в любом случае проблемы будут. Или я что-от упускаю.

Если использовать для аккаунтинга трафика что-либо не ориентирующееся на счетчики правил fw (i.e. ipa), то можно добавлять адрес узера в таблицу вместо добавления нового правила.

По предидущему посту: из статьи я понял, что привязка идет авторизация пользователя и привязка к нему адреса и если я поменяю адрес и попробую авторизоваться у мне будет борода из ваты, так как нет соответствия имя пользователя и IP ИЛИ я чего то не догнал?
А без NAT это работать будет? у пользователей в подсетке реальные IP

УПС надо было обновить страничку :) (пост 4) но вопрос насчет NAT остается в силе

authpf - знатный костыль. Для лентяев, которые не против юзать совершенно тугое и неудобное решение, лишь бы не делать что-то самому.
Почитайте документацию к PF, вернее - к pfctl (man pfctl, man pf.conf), в частности - к пункту, касающемуся anchor - и станет ясно, что все это можно сделать и без использования authpf вообще, причем - куда более удобным и естественным способом. Хоть веб-интерфейс, хоть простой коннект сокетами, хоть прозрачную виндовую авторизацию туда прикручивай - у кого на что фантазии и знаний хватит.

откуда вы все такие умные ))