URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 78042
[ Назад ]
Исходное сообщение
"Авторизация через telnet/radius/firewall/nat"
Отправлено Nerian , 25-Дек-07 22:39 
Добрый день!

С помощью черего в linux/freebsd можно настроить авторизацию для доступа через nat с использованием telnet?

К примеру пользователь без доступа, может сделать с машины telnet server.com 259 где у него спросят его логин и пароль, после черего сервер создаст нужное правило на фаерволе.

Есть ли готовые решения, или придёться писать свой скрипт и вещать его через xinetd?

Спасибо

Содержание
Сообщения в этом обсуждении
"Авторизация через telnet/radius/firewall/nat"
Отправлено newser , 25-Дек-07 22:48 
>[оверквотинг удален]
>с использованием telnet?
>
>К примеру пользователь без доступа, может сделать с машины telnet server.com 259
>где у него спросят его логин и пароль, после черего сервер
>создаст нужное правило на фаерволе.
>
>Есть ли готовые решения, или придёться писать свой скрипт и вещать его
>через xinetd?
>
>Спасибо

Полагаю, безопасность Вас не интересует в принципе?

"Авторизация через telnet/radius/firewall/nat"
Отправлено Nerian , 25-Дек-07 22:58 
>[оверквотинг удален]
>>К примеру пользователь без доступа, может сделать с машины telnet server.com 259
>>где у него спросят его логин и пароль, после черего сервер
>>создаст нужное правило на фаерволе.
>>
>>Есть ли готовые решения, или придёться писать свой скрипт и вещать его
>>через xinetd?
>>
>>Спасибо
>
>Полагаю, безопасность Вас не интересует в принципе?

В данный момент меня больше интересует какой продукт для этого можно использовать. Просто я видел такое на CheckPoint'е, и задумался, а можно ли так сделать на *nix. Я понимаю что телнет можно просниферить как нечего делать, но это уже другой вопрос )

Как универсальный и достаточно "безопасный" вариант мне в голову приходит только создание пользователя к примеру inetuser у которого вместо щела стоит скрипт который при успешной авторизации добавит на 60 минут правило в фаервол разрешающий доступ с ip с которого было подключение, с условием что авторизация прощла. Но в этом примере имеються два неудобства (связанные с безопасностью):

1. Клиент должен иметь программу ssh для доступа к серверу (что не всегда есть)
2. Клиент по мимо своего пароля должен ещё помнить пароль и логин inetuser/inetuser.

В общей сложности такой скрипт делаеться и отлаживаеться за час.

Просто повторюсь. Интересует уже готовое решение.

"Авторизация через telnet/radius/firewall/nat"
Отправлено newser , 25-Дек-07 23:09 
>[оверквотинг удален]
>
>
>1. Клиент должен иметь программу ssh для доступа к серверу (что не
>всегда есть)
>2. Клиент по мимо своего пароля должен ещё помнить пароль и логин
>inetuser/inetuser.
>
>В общей сложности такой скрипт делаеться и отлаживаеться за час.
>
>Просто повторюсь. Интересует уже готовое решение.

Насчёт готовых решений не подскажу, но предложу вариант, раз с написанием скриптов у Вас проблем нет:

Простейшая авторизация может быть реализована через https - просто и в достаточной мере безопасно. :) Скрипт авторизации делает запись в файл/базу, которая обрабатывается скриптом, вызываемым из cron'а, скажем, раз в минуту. И крутите всю эту схему как хотите, в том числе и в плане безопасности.

Это один из возможных вариантов, направление, так сказать.

Удачи!

"Авторизация через telnet/radius/firewall/nat"
Отправлено Nerian , 25-Дек-07 23:12 
Спасибо! ) Ещё один интересный способ


"Авторизация через telnet/radius/firewall/nat"
Отправлено Koba LTD , 26-Дек-07 13:39 
>[оверквотинг удален]
>
>Простейшая авторизация может быть реализована через https - просто и в достаточной
>мере безопасно. :) Скрипт авторизации делает запись в файл/базу, которая обрабатывается
>скриптом, вызываемым из cron'а, скажем, раз в минуту. И крутите всю
>эту схему как хотите, в том числе и в плане безопасности.
>
>
>Это один из возможных вариантов, направление, так сказать.
>
>Удачи!

Вопрос - а чем не подходил VPN - есть все что вам нужно - и авторизация, после успешного прохождения которой подымаеться защещеный канал и интерфейся с маршрутами, там же в скриптах можно и правила на файрвол вешать.
т.е. авторизация - есть, безопастность(приемлимая) -есть, унивирсальность в плане клиента - есть. Зачем ара изобритать велосипед.
Вот так.

"Авторизация через telnet/radius/firewall/nat"
Отправлено LM , 26-Дек-07 14:52 
Да я так спросил. Увидил как сделано в checkpoint и подмал а как так сделать в linux. Мне по большому всё равно безопасно или нет, подходит ли в этом случае vpn или просто nat. Интересно просто чем такое можно было бы реализовать в linux/bsd.
"Авторизация через telnet/radius/firewall/nat"
Отправлено Tuxper , 26-Дек-07 12:03 
>[оверквотинг удален]
>с использованием telnet?
>
>К примеру пользователь без доступа, может сделать с машины telnet server.com 259
>где у него спросят его логин и пароль, после черего сервер
>создаст нужное правило на фаерволе.
>
>Есть ли готовые решения, или придёться писать свой скрипт и вещать его
>через xinetd?
>
>Спасибо

Читал что такое делают с помощью PF. Называется PF-авторизация, типа юзер коннектиться по ssh'у к шлюзу, проходит авторизацию, в файрволле создаются разрешающие правила и пока открыто окно клиента SSH, инет работает...

"Авторизация через telnet/radius/firewall/nat"
Отправлено Ночной админ , 27-Дек-07 03:30 
>Читал что такое делают с помощью PF. Называется PF-авторизация, типа юзер коннектиться
>по ssh'у к шлюзу, проходит авторизацию, в файрволле создаются разрешающие правила
>и пока открыто окно клиента SSH, инет работает...

Гуглим по запросу "Аутентификационный шлюз на базе authpf"
Есть это тут http://www.opennet.me/base/sec/authpf_auth.txt.html