URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 39036
[ Назад ]

Исходное сообщение
"Как разделять dial-up`ных клиентов?"
Отправлено Dmitri , 05-Янв-04 16:01

Доброго времени суток!
Такая проблема:
Есть FreeBSD 4.7, на нем несколько модемов. И есть несколько категорий звонящих клиентов, которым нужен совсем разный доступ (одним в Инет, другим в локалку, третим только к локальному почтовику...). Как это сделать? Первое, что приходит в голову, это каждой категории клиентов выдать по отдельному входящему номеру (модему), на этот модем определить свой IP, и потом рулить... Но если этот клиент узнает номера телефонов на других линиях, он беспрепятственно может позвонить и на другой модем, система его впустит, и права он получит совсем другие!!! Это не есть хорошо. Может как то сделать разных пользователей для разных входящих линий, чтобы пользователь не смог зарегестрироваться, звоня на другой модем? А как?
Второй вариант - это ставить RADIUS. Не сталкивался, не знаю... Можно ли там по имени пользователя выдать IP адрес? (нужно далее firewall`ом рулить)
Подскажите, как лучше сделать?

Содержание

Как разделять dial-up`ных клиентов?,ipmanyak, 16:25 , 05-Янв-04
Как разделять dial-up`ных клиентов?,ipmanyak, 16:27 , 05-Янв-04
Как разделять dial-up`ных клиентов?,YuryD, 16:28 , 05-Янв-04

Сообщения в этом обсуждении

"Как разделять dial-up`ных клиентов?"
Отправлено ipmanyak , 05-Янв-04 16:25

>Доброго времени суток!
>Такая проблема:
>Есть FreeBSD 4.7, на нем несколько модемов. И есть несколько категорий звонящих
>клиентов, которым нужен совсем разный доступ (одним в Инет, другим в
>локалку, третим только к локальному почтовику...). Как это сделать? Первое, что
>приходит в голову, это каждой категории клиентов выдать по отдельному входящему
>номеру (модему), на этот модем определить свой IP, и потом рулить...
>Но если этот клиент узнает номера телефонов на других линиях, он
>беспрепятственно может позвонить и на другой модем, система его впустит, и
>права он получит совсем другие!!! Это не есть хорошо. Может как
>то сделать разных пользователей для разных входящих линий, чтобы пользователь не
>смог зарегестрироваться, звоня на другой модем? А как?
>Второй вариант - это ставить RADIUS. Не сталкивался, не знаю... Можно ли
>там по имени пользователя выдать IP адрес? (нужно далее firewall`ом рулить)
>
>Подскажите, как лучше сделать?
модемы тут не причем, cделай аутентификацию chap или pap и в pap-secrets или chap-secrets пропиши логины, пароли, и ip юзеров, после чего рули этими ip адресами на firewall .

"Как разделять dial-up`ных клиентов?"
Отправлено ipmanyak , 05-Янв-04 16:27

пример
# chap-secrets
# client                server  secret          IP adresses
# Secrets for authentication using CHAP
# client        server  secret          IP addresses
test2           popatopa 123            10.131.25.3
test            popatopa 123            10.131.25.4

"Как разделять dial-up`ных клиентов?"
Отправлено YuryD , 05-Янв-04 16:28

>Второй вариант - это ставить RADIUS. Не сталкивался, не знаю... Можно ли
>там по имени пользователя выдать IP адрес? (нужно далее firewall`ом рулить)

/usr/share/examples/ppp/ppp.secret.sample