https://mobile.opennet.me/openforum/vsluhforumID1/78042.html Добрый день!<br><br>С помощью черего в linux/freebsd можно настроить авторизацию для доступа через nat с использованием telnet?<br><br>К примеру пользователь без доступа, может сделать с машины telnet server.com 259 где у него спросят его логин и пароль, после черего сервер создаст нужное правило на фаерволе.<br><br>Есть ли готовые решения, или придёться писать свой скрипт и вещать его через xinetd?<br><br>Спасибо<br> https://mobile.opennet.me/openforum/vsluhforumID1/78042.html#8 Thu, 27 Dec 2007 00:30:07 GMT &gt;Читал что такое делают с помощью PF. Называется PF-авторизация, типа юзер коннектиться <br>&gt;по ssh'у к шлюзу, проходит авторизацию, в файрволле создаются разрешающие правила <br>&gt;и пока открыто окно клиента SSH, инет работает... <br><br> Гуглим по запросу "Аутентификационный шлюз на базе authpf"<br>Есть это тут http://www.opennet.ru/base/sec/authpf_auth.txt.html<br> https://mobile.opennet.me/openforum/vsluhforumID1/78042.html#7 Wed, 26 Dec 2007 11:52:13 GMT Да я так спросил. Увидил как сделано в checkpoint и подмал а как так сделать в linux. Мне по большому всё равно безопасно или нет, подходит ли в этом случае vpn или просто nat. Интересно просто чем такое можно было бы реализовать в linux/bsd.<br> https://mobile.opennet.me/openforum/vsluhforumID1/78042.html#6 Wed, 26 Dec 2007 10:39:09 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Простейшая авторизация может быть реализована через https - просто и в достаточной <br>&gt;мере безопасно. :) Скрипт авторизации делает запись в файл/базу, которая обрабатывается <br>&gt;скриптом, вызываемым из cron'а, скажем, раз в минуту. И крутите всю <br>&gt;эту схему как хотите, в том числе и в плане безопасности. <br>&gt;<br>&gt;<br>&gt;Это один из возможных вариантов, направление, так сказать. <br>&gt;<br>&gt;Удачи! <br><br>Вопрос - а чем не подходил VPN - есть все что вам нужно - и авторизация, после успешного прохождения которой подымаеться защещеный канал и интерфейся с маршрутами, там же в скриптах можно и правила на файрвол вешать.<br>т.е. авторизация - есть, безопастность(приемлимая) -есть, унивирсальность в плане клиента - есть. Зачем ара изобритать велосипед.<br>Вот так.<br> https://mobile.opennet.me/openforum/vsluhforumID1/78042.html#5 Wed, 26 Dec 2007 09:03:10 GMT &gt;[оверквотинг удален]<br>&gt;с использованием telnet? <br>&gt;<br>&gt;К примеру пользователь без доступа, может сделать с машины telnet server.com 259 <br>&gt;где у него спросят его логин и пароль, после черего сервер <br>&gt;создаст нужное правило на фаерволе. <br>&gt;<br>&gt;Есть ли готовые решения, или придёться писать свой скрипт и вещать его <br>&gt;через xinetd? <br>&gt;<br>&gt;Спасибо <br><br>Читал что такое делают с помощью PF. Называется PF-авторизация, типа юзер коннектиться по ssh'у к шлюзу, проходит авторизацию, в файрволле создаются разрешающие правила и пока открыто окно клиента SSH, инет работает...<br> https://mobile.opennet.me/openforum/vsluhforumID1/78042.html#4 Tue, 25 Dec 2007 20:12:22 GMT Спасибо! ) Ещё один интересный способ<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID1/78042.html#3 Tue, 25 Dec 2007 20:09:56 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;<br>&gt;1. Клиент должен иметь программу ssh для доступа к серверу (что не <br>&gt;всегда есть) <br>&gt;2. Клиент по мимо своего пароля должен ещё помнить пароль и логин <br>&gt;inetuser/inetuser. <br>&gt;<br>&gt;В общей сложности такой скрипт делаеться и отлаживаеться за час. <br>&gt;<br>&gt;Просто повторюсь. Интересует уже готовое решение. <br><br>Насчёт готовых решений не подскажу, но предложу вариант, раз с написанием скриптов у Вас проблем нет:<br><br>Простейшая авторизация может быть реализована через https - просто и в достаточной мере безопасно. :) Скрипт авторизации делает запись в файл/базу, которая обрабатывается скриптом, вызываемым из cron'а, скажем, раз в минуту. И крутите всю эту схему как хотите, в том числе и в плане безопасности.<br><br>Это один из возможных вариантов, направление, так сказать.<br><br>Удачи!<br> https://mobile.opennet.me/openforum/vsluhforumID1/78042.html#2 Tue, 25 Dec 2007 19:58:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt;К примеру пользователь без доступа, может сделать с машины telnet server.com 259 <br>&gt;&gt;где у него спросят его логин и пароль, после черего сервер <br>&gt;&gt;создаст нужное правило на фаерволе. <br>&gt;&gt;<br>&gt;&gt;Есть ли готовые решения, или придёться писать свой скрипт и вещать его <br>&gt;&gt;через xinetd? <br>&gt;&gt;<br>&gt;&gt;Спасибо <br>&gt;<br>&gt;Полагаю, безопасность Вас не интересует в принципе? <br><br>В данный момент меня больше интересует какой продукт для этого можно использовать. Просто я видел такое на CheckPoint'е, и задумался, а можно ли так сделать на *nix. Я понимаю что телнет можно просниферить как нечего делать, но это уже другой вопрос )<br><br>Как универсальный и достаточно "безопасный" вариант мне в голову приходит только создание пользователя к примеру inetuser у которого вместо щела стоит скрипт который при успешной авторизации добавит на 60 минут правило в фаервол разрешающий доступ с ip с которого было подключение, с условием что авторизация прощла. Но в этом примере имеються два неудобства (связанные с безопасность https://mobile.opennet.me/openforum/vsluhforumID1/78042.html#1 Tue, 25 Dec 2007 19:48:24 GMT &gt;[оверквотинг удален]<br>&gt;с использованием telnet? <br>&gt;<br>&gt;К примеру пользователь без доступа, может сделать с машины telnet server.com 259 <br>&gt;где у него спросят его логин и пароль, после черего сервер <br>&gt;создаст нужное правило на фаерволе. <br>&gt;<br>&gt;Есть ли готовые решения, или придёться писать свой скрипт и вещать его <br>&gt;через xinetd? <br>&gt;<br>&gt;Спасибо <br><br>Полагаю, безопасность Вас не интересует в принципе?<br>