Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

reverse caprive portal

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
giaco



Registrato: 25/05/07 10:49
Messaggi: 6

MessaggioInviato: Ven Set 14, 2007 4:11 pm    Oggetto: reverse caprive portal Rispondi citando

Ciao a tutti. Gestisco (anche se non mi considero un vero amministratore di sistema) una struttura che ha una serie di pc linux ai quali è possibile accedere via ssh . Capita che alcuni utenti debbano accedere via ssh dall'esterno e tipicamente da ip dinamici. Dato che non ho piacere a lasciare aperta la porta 22 full time e contro tutti ho pensato ad un utilizzo di Captive Portal al contrario cioè dalla wan verso la lan. Ha senso quello che sto dicendo? E' possibile implementarlo con ZS? Se ho capito come funziona CP in pratica otterrei un firewall in grado di blocca tutto il traffico in ingresso ad eccezione degli ip/Mac address degli utenti riconosciuti e per il tempo strettamente necessario. Se si potesse fare in modo che il canale aperto per uno specifico ip fosse per una specifica porta sarebbe perfetto!
Grazie e complimenti per quest'ottima distribuzione che, piano piano, sta diventando il cardine di tutta la mia struttura dato che racchiude in se le principali funzioni che mi servivano.

Ciao, Luca
Top
Profilo Invia messaggio privato
skpho



Registrato: 02/08/07 14:14
Messaggi: 10

MessaggioInviato: Gio Ott 04, 2007 4:03 pm    Oggetto: Re: reverse caprive portal Rispondi citando

giaco ha scritto:
Ciao a tutti. Gestisco (anche se non mi considero un vero amministratore di sistema) una struttura che ha una serie di pc linux ai quali è possibile accedere via ssh . Capita che alcuni utenti debbano accedere via ssh dall'esterno e tipicamente da ip dinamici. ....... in pratica otterrei un firewall in grado di blocca tutto il traffico in ingresso ad eccezione degli ip/Mac address degli utenti riconosciuti e per il tempo strettamente necessario.
Ciao, Luca


Ma come fai se come scrivi hai ip dinamici?

Potresti utilizzare le vpn. Ip dinamico----(vpn)---ZeroShell---lan.

Ciao
Top
Profilo Invia messaggio privato
giaco



Registrato: 25/05/07 10:49
Messaggi: 6

MessaggioInviato: Gio Ott 04, 2007 5:11 pm    Oggetto: Re: reverse caprive portal Rispondi citando

skpho ha scritto:


Ma come fai se come scrivi hai ip dinamici?

Potresti utilizzare le vpn. Ip dinamico----(vpn)---ZeroShell---lan.

Ciao


Ciao e grazie per la risposta.
In pratica l'idea è questa:
l'utente da ip remoto (e dinamico) si connette alla pagina web del captive portal e si autentifica.
Fatto questo apre un terminale, o quello che gli serve, e si connette al servizio che gli interessa e che sta su un ip fisso naturalmente.
Non mi piaceva l'idea della vpn per 2 ragioni. La prima è che i miei utenti, per quanto esperti nel loro settore, sono estremamente gracili nell'apprendere cose nuove e, cosa più importante, spesso non utilizzano terminali di proprietà. Se realizzabile la procedura di connessione sarebbe estremamente semplice e banale. Attualmente tutti i pc hanno sshd attivo ma un firewall blocca tutto ad eccezione di un terminale. Gli utenti si connettono a questo pc e da li si muovono sugli altri. Dimenticavo: tutti gli ip dei miei terminali sono pubblici.
In ogni caso grazie.
Ciao, Luca
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Ott 04, 2007 10:22 pm    Oggetto: Rispondi citando

Il Captive Portal di Zeroshell non è stato pensato per l'impiego da te descritto e pertanto un utilizzo in tal senso richiederebbe qualche accorgimento.
Citazione:

... blocca tutto il traffico in ingresso ad eccezione degli ip/Mac address degli utenti riconosciuti ...


Tieni conto che dal lato WAN, diversamente che da quello LAN, non ha senso parlare di MAC address dei client, visto che tra l'interfaccia ethernet di Zeroshell e quella del client connesso da Internet ci sono in mezzo dei router di livello 3.
Ciò comunque si risolve banalmente nella sezione [Captive Portal]->[Gateway] impostando la voce "Client Identity" a "Only IP address".

Rimane ancora un problema: se applichi il Captive Portal sull'interfaccia di rete che ti connette a Internet, bloccherai anche i pacchetti di ritorno dei server a cui i client interni alla LAN fanno delle richieste. Per ovviare a questo problema potresti tentare di sfruttare la caratteristica di Stateful Packet Inspection (SPI) del Netfilter di Linux. Detto più semplicemente, dovresti aggiungere nella Chain FORWARD del Firewall, una regola in ACCEPT sui pacchetti entranti dall'interfaccia verso Internet, ma con i flag
RELATED,ESTABLISHED attivi. Il risultato dovrebbe assomigliare al seguente.

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- ETH01 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 CapPort all -- * * 0.0.0.0/0 0.0.0.0/0


Al momento non mi viene altro in mente da suggerirti, comunque potrebbero esserci altri problemi che proveremo a risolvere man mano.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it