|
 Вариант для распечатки |
Архивированная нить - только для чтения!
Пред. тема | След. тема | ||
Форумы
OpenNET: Виртуальная конференция (Public)
| |||
|---|---|---|---|
| Изначальное сообщение | [Проследить за развитием треда] | ||
| "Как запретить юзеру все кроме pop3/smtp?" | |
Сообщение от Sanko    on
19-Май-00, 14:19 (MSK)
| |
Возникла необходимость запретить определленой группе юзеров запретить http, ftp & other`s, короче все кроме pop3/smtp (post account`s) Для lan все понятно, а как быть с теми кто заходит через pppd ? <p>P.S FreeBSD 3.4<br> | |
| Рекомендовать в FAQ | Cообщить модератору | Наверх | |
| Оглавление |
|
| Индекс форумов | Темы | Пред. тема | След. тема |
| Сообщения по теме |
| 1. "Re: Как запретить юзеру все кроме pop3/smtp?" | |
|
Сообщение от jax on
19-Май-00, 14:39 (MSK)
| |
насколь я понимаю в pppd у каждого юзверя есть свой ip (uid<->ipaddr),<br>если получают их от DHCP то все адреса выделяй из одного диапазона (подсети)<br>далее попробуй фырволлинг с доступом <br>из этой подсети (подсетей) только к нужным ресурсам (портам)...<br> Be happy. | |
| Рекомендовать в FAQ | Cообщить модератору | Наверх | |
 |
|
| 2. "Re: Как запретить юзеру все кроме pop3/smtp?" | |
|
Сообщение от Sanko on
19-Май-00, 16:07 (MSK)
| |
Все дело в том, что local:remote_ip для pppd задается в options.cuaXX соответственно если закрыть оный ipfw, то юзера с "полным" доступом ничего кроме мыла не получат. Есть другой вариант - дать опр. адрес на юзера, но опять же нет физической возможности это сделать (подсетка у меня 16 адресов), да и незачем. <br>Вот такие дела.... Но все равно спасибо :)<br> | |
| Рекомендовать в FAQ | Cообщить модератору | Наверх | |
|
|
| 3. "Re: Как запретить юзеру все кроме pop3/smtp?" | |
|
Сообщение от jax on
19-Май-00, 18:57 (MSK)
| |
А понятно...<br>Конечно, я точно твою конфигурацию не знаю, и сколько у тебя точек подключения но по-моему все-таки можно по такому сценарию все сделать.<br>Значит не все юзверя "непривелегированные"...<br>Слушай, а ведь внутренних подсетей-то у тебя на eth может быть сколько хошь, из них нельзя что-ли адреса выдавать, а потом форвардить фырволлом.<br>Можешь "привелегированным" юзверям дать динамические из одной подсети, а другим из другой, имея всего два файла options.* .<br>Поясню:<br>если вместо шелла после авторизации<br>подсовывать юзеру с одними возможностями один файл<br>options.*, а другому другой, где будет совершенно другой адрес.<br>т.е.<br>в файле паролей:<br>user:*:blabla:/tmp:/sbin/pppd file options.*<br>т.е. принудить pppd читать файл соответствующий не устройству, а юзеру.<br>Конечно, ты можешь вспомнить, что например, в mgetty есть богус-юзер AutoPPP от лица которого и запускается pppd ну я думаю если он умрет, то ничего страшного не случится. Конечно гемморойно переписывать шеллы всем юзверям.<br>Чесно говоря, не знаю сработает это или нет:))<br>После пива меня на всякий флуд пробивает:)))<br>Извиняюсь, если отнял время на прочтение этой фигни:)))) | |
| Рекомендовать в FAQ | Cообщить модератору | Наверх | |
|
Удалить |
Индекс форумов | Темы | Пред. тема | След. тема |
