Precedente :: Successivo |
Autore |
Messaggio |
giaco
Registrato: 25/05/07 10:49 Messaggi: 6
|
Inviato: Ven Set 14, 2007 4:11 pm Oggetto: reverse caprive portal |
|
|
Ciao a tutti. Gestisco (anche se non mi considero un vero amministratore di sistema) una struttura che ha una serie di pc linux ai quali è possibile accedere via ssh . Capita che alcuni utenti debbano accedere via ssh dall'esterno e tipicamente da ip dinamici. Dato che non ho piacere a lasciare aperta la porta 22 full time e contro tutti ho pensato ad un utilizzo di Captive Portal al contrario cioè dalla wan verso la lan. Ha senso quello che sto dicendo? E' possibile implementarlo con ZS? Se ho capito come funziona CP in pratica otterrei un firewall in grado di blocca tutto il traffico in ingresso ad eccezione degli ip/Mac address degli utenti riconosciuti e per il tempo strettamente necessario. Se si potesse fare in modo che il canale aperto per uno specifico ip fosse per una specifica porta sarebbe perfetto!
Grazie e complimenti per quest'ottima distribuzione che, piano piano, sta diventando il cardine di tutta la mia struttura dato che racchiude in se le principali funzioni che mi servivano.
Ciao, Luca |
|
Top |
|
 |
skpho
Registrato: 02/08/07 14:14 Messaggi: 10
|
Inviato: Gio Ott 04, 2007 4:03 pm Oggetto: Re: reverse caprive portal |
|
|
giaco ha scritto: | Ciao a tutti. Gestisco (anche se non mi considero un vero amministratore di sistema) una struttura che ha una serie di pc linux ai quali è possibile accedere via ssh . Capita che alcuni utenti debbano accedere via ssh dall'esterno e tipicamente da ip dinamici. ....... in pratica otterrei un firewall in grado di blocca tutto il traffico in ingresso ad eccezione degli ip/Mac address degli utenti riconosciuti e per il tempo strettamente necessario.
Ciao, Luca |
Ma come fai se come scrivi hai ip dinamici?
Potresti utilizzare le vpn. Ip dinamico----(vpn)---ZeroShell---lan.
Ciao |
|
Top |
|
 |
giaco
Registrato: 25/05/07 10:49 Messaggi: 6
|
Inviato: Gio Ott 04, 2007 5:11 pm Oggetto: Re: reverse caprive portal |
|
|
skpho ha scritto: |
Ma come fai se come scrivi hai ip dinamici?
Potresti utilizzare le vpn. Ip dinamico----(vpn)---ZeroShell---lan.
Ciao |
Ciao e grazie per la risposta.
In pratica l'idea è questa:
l'utente da ip remoto (e dinamico) si connette alla pagina web del captive portal e si autentifica.
Fatto questo apre un terminale, o quello che gli serve, e si connette al servizio che gli interessa e che sta su un ip fisso naturalmente.
Non mi piaceva l'idea della vpn per 2 ragioni. La prima è che i miei utenti, per quanto esperti nel loro settore, sono estremamente gracili nell'apprendere cose nuove e, cosa più importante, spesso non utilizzano terminali di proprietà. Se realizzabile la procedura di connessione sarebbe estremamente semplice e banale. Attualmente tutti i pc hanno sshd attivo ma un firewall blocca tutto ad eccezione di un terminale. Gli utenti si connettono a questo pc e da li si muovono sugli altri. Dimenticavo: tutti gli ip dei miei terminali sono pubblici.
In ogni caso grazie.
Ciao, Luca |
|
Top |
|
 |
fulvio Site Admin
Registrato: 01/11/06 17:45 Messaggi: 1559
|
Inviato: Gio Ott 04, 2007 10:22 pm Oggetto: |
|
|
Il Captive Portal di Zeroshell non è stato pensato per l'impiego da te descritto e pertanto un utilizzo in tal senso richiederebbe qualche accorgimento.
Citazione: |
... blocca tutto il traffico in ingresso ad eccezione degli ip/Mac address degli utenti riconosciuti ...
|
Tieni conto che dal lato WAN, diversamente che da quello LAN, non ha senso parlare di MAC address dei client, visto che tra l'interfaccia ethernet di Zeroshell e quella del client connesso da Internet ci sono in mezzo dei router di livello 3.
Ciò comunque si risolve banalmente nella sezione [Captive Portal]->[Gateway] impostando la voce "Client Identity" a "Only IP address".
Rimane ancora un problema: se applichi il Captive Portal sull'interfaccia di rete che ti connette a Internet, bloccherai anche i pacchetti di ritorno dei server a cui i client interni alla LAN fanno delle richieste. Per ovviare a questo problema potresti tentare di sfruttare la caratteristica di Stateful Packet Inspection (SPI) del Netfilter di Linux. Detto più semplicemente, dovresti aggiungere nella Chain FORWARD del Firewall, una regola in ACCEPT sui pacchetti entranti dall'interfaccia verso Internet, ma con i flag
RELATED,ESTABLISHED attivi. Il risultato dovrebbe assomigliare al seguente.
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- ETH01 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 CapPort all -- * * 0.0.0.0/0 0.0.0.0/0
Al momento non mi viene altro in mente da suggerirti, comunque potrebbero esserci altri problemi che proveremo a risolvere man mano.
Ciao
Fulvio |
|
Top |
|
 |
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|