forum.opennet.ru

Составление сообщения

Исходное сообщение

"Вышел squid-2.6.STABLE1. Обзор новшеств"
Отправлено Maxim, 14-Ноя-07 20:13

>iptables+mysql ?
>сделай такую связку, чтобы юзеры авторизовались в иптаблес селектом из мускульной базы?
>
>а кеширование?
>а черный список не на основе ип-адресов, а днс-имен?
называется PPPoE или на худой конец pptpd (VPN)
я использую тоннель односторонний, т.е. на клиенте выставляю опцию "не использовать удаленный шлюз впн"
поэтому клиент шлет все на дефолт, локальные и пиринговые сети (которые без учета трафика и на скорости от 100 мбит до гигабита) бегают без тоннеля
а конкретно интернет (или платный трафик, как хотите назовите.. ну в общем тот которых хочу чтобы был аутентифицированный) на сервере засовываю в тоннель до клиента (при поключении я знаю на каком ppp+ у меня "сидит" конкретный реальный ИП)
получаем немного ассиметричное соединение
зато не нужно дурацких bat файлов или установки на виндёвых машинках слушателя RIP (который, кстати, легко заспуфить по незнанию ли со зла), поэтому при смене топологии сети или добавлении новых сегментов клиентам у себя ничего перенастраивать не нужно
в офисе аналогично: манагер заходит в домен, у него в авторане подключение к ВПН
работает со своего "аккаунта"
вышел из системы, сел за другую машину: рабочий стол всосал опять свой, опять из авторана запустился ВПН, опять аутентифицированный трафик. соединение одно и то же для всех юзеров, стоит "галка" использвать доменное имя и пароль
из плюсов: если зайдет под своим логином на двух машинах, инет будет работать только на одной (так как в системе будет два интерфейса с одинаковым peer-IP, и трафик будет улетать в первый подключенный)
если хотим чтобы работало на обеих, то нужно ИПы не статические выдавать, а динамические (это уж по желанию)
факчически, используя ВПН делаем абсолютно однозначное соответствие "пользователь в БД" и IP
поэтому появляется возможность рулить доступом пользователя к сети через iptables
что и требовалось "доказать"
p.s. а кэширование делай после впн-сервера, если есть желание (ну или на той же машине если офис/сеть небольшие)
по поводу ДНС... у меня она тоже в sql-базе лежит, так что все повязано

Исходное сообщение
"Вышел squid-2.6.STABLE1. Обзор новшеств" Отправлено Maxim, 14-Ноя-07 20:13
>iptables+mysql ? >сделай такую связку, чтобы юзеры авторизовались в иптаблес селектом из мускульной базы? > >а кеширование? >а черный список не на основе ип-адресов, а днс-имен? называется PPPoE или на худой конец pptpd (VPN) я использую тоннель односторонний, т.е. на клиенте выставляю опцию "не использовать удаленный шлюз впн" поэтому клиент шлет все на дефолт, локальные и пиринговые сети (которые без учета трафика и на скорости от 100 мбит до гигабита) бегают без тоннеля а конкретно интернет (или платный трафик, как хотите назовите.. ну в общем тот которых хочу чтобы был аутентифицированный) на сервере засовываю в тоннель до клиента (при поключении я знаю на каком ppp+ у меня "сидит" конкретный реальный ИП) получаем немного ассиметричное соединение зато не нужно дурацких bat файлов или установки на виндёвых машинках слушателя RIP (который, кстати, легко заспуфить по незнанию ли со зла), поэтому при смене топологии сети или добавлении новых сегментов клиентам у себя ничего перенастраивать не нужно в офисе аналогично: манагер заходит в домен, у него в авторане подключение к ВПН работает со своего "аккаунта" вышел из системы, сел за другую машину: рабочий стол всосал опять свой, опять из авторана запустился ВПН, опять аутентифицированный трафик. соединение одно и то же для всех юзеров, стоит "галка" использвать доменное имя и пароль из плюсов: если зайдет под своим логином на двух машинах, инет будет работать только на одной (так как в системе будет два интерфейса с одинаковым peer-IP, и трафик будет улетать в первый подключенный) если хотим чтобы работало на обеих, то нужно ИПы не статические выдавать, а динамические (это уж по желанию) факчически, используя ВПН делаем абсолютно однозначное соответствие "пользователь в БД" и IP поэтому появляется возможность рулить доступом пользователя к сети через iptables что и требовалось "доказать" p.s. а кэширование делай после впн-сервера, если есть желание (ну или на той же машине если офис/сеть небольшие) по поводу ДНС... у меня она тоже в sql-базе лежит, так что все повязано

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>iptables+mysql ? >>сделай такую связку, чтобы юзеры авторизовались в иптаблес селектом из мускульной базы? >> >>а кеширование? >>а черный список не на основе ип-адресов, а днс-имен? > называется PPPoE или на худой конец pptpd (VPN) > я использую тоннель односторонний, т.е. на клиенте выставляю опцию "не использовать удаленный > шлюз впн" > поэтому клиент шлет все на дефолт, локальные и пиринговые сети (которые без > учета трафика и на скорости от 100 мбит до гигабита) бегают > без тоннеля > а конкретно интернет (или платный трафик, как хотите назовите.. ну в общем > тот которых хочу чтобы был аутентифицированный) на сервере засовываю в тоннель > до клиента (при поключении я знаю на каком ppp+ у меня > "сидит" конкретный реальный ИП) > получаем немного ассиметричное соединение > зато не нужно дурацких bat файлов или установки на виндёвых машинках слушателя > RIP (который, кстати, легко заспуфить по незнанию ли со зла), поэтому > при смене топологии сети или добавлении новых сегментов клиентам у себя > ничего перенастраивать не нужно > в офисе аналогично: манагер заходит в домен, у него в авторане подключение > к ВПН > работает со своего "аккаунта" > вышел из системы, сел за другую машину: рабочий стол всосал опять свой, > опять из авторана запустился ВПН, опять аутентифицированный трафик. соединение одно и > то же для всех юзеров, стоит "галка" использвать доменное имя и > пароль > из плюсов: если зайдет под своим логином на двух машинах, инет будет > работать только на одной (так как в системе будет два интерфейса > с одинаковым peer-IP, и трафик будет улетать в первый подключенный) > если хотим чтобы работало на обеих, то нужно ИПы не статические выдавать, > а динамические (это уж по желанию) > факчически, используя ВПН делаем абсолютно однозначное соответствие "пользователь в БД" > и IP > поэтому появляется возможность рулить доступом пользователя к сети через iptables > что и требовалось "доказать" > p.s. а кэширование делай после впн-сервера, если есть желание (ну или на > той же машине если офис/сеть небольшие) > по поводу ДНС... у меня она тоже в sql-базе лежит, так что > все повязано
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру