Re: [Gutl-l] Sobre acceso telefónico, usuarios y servicios

2015-10-30 Por tema Hugo Florentino 

On Thu, 29 Oct 2015 20:14:18 +0100, Manuel Mely wrote:


Si también pensé en «ipparam» pero sucede lo que dices. Era el único
que te hubiera podido servir.

No obstante, volviendo a «ip-up», quizás pudieras ahí mismo sacar el
usuario y crear las reglas en dependencia del usuario que es ?



Si, creo que intentaré algo como esto:

USUARIO=$(last | grep $(basename("$2")) | grep logged | cut -d ' ' -f1)

Después lo evalúo con un CASE o algo por el estilo, y declaro las 
reglas de iptables relevantes, y entonces solo queda hacer un pooc de 
limpieza cuando se desconecte el enlace.


En fin es solo una idea, aun no he podido probarla pero en teoría 
debería funcionar.



__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Sobre acceso telefónico, usuarios y servicios

2015-10-29 Por tema Manuel Mely 



On 10/29/2015 12:47 PM, Hugo Florentino wrote:

2- Intentar jugar con el script ip-up (el que pppd llama cuando se
establece el enlace) y con los logs de pppd (o algún comandillo que te
de una salida decente) para sacar el user y de ahí puedes crear las
reglas para iptables que necesitas.



Bueno, yo estuve valorando usar ip-up pero hay un inconveniente, que 
solo trae de serie los siguientes parámetros:

$1 - el nombre de la interfaz (ej. ppp0)
$2 - el nombre del dispositivo tty
$3 - la velocidad del dispositivo tty
$4 - la dirección ip local de la interfaz
$5 - la dirección ip remota
$6 - el parametro especificado por la opcion ipparam

Sucede que lo ideal sería especificar en ipparam el nombre de usuario, 
pero increiblemente pppd no parece proporcionar una forma de obtenerlo 
directamente para conexiones entrantes, ya que este lo que hace es 
delegar la autenticación a pam.


Lo ideal seria extraer el usuario por ejemplo mediante pam_get_user o 
algo por el estilo y pasarlo como ipparam, pero aun no se como 
conseguirlo.





Si también pensé en «ipparam» pero sucede lo que dices. Era el único que 
te hubiera podido servir.


No obstante, volviendo a «ip-up», quizás pudieras ahí mismo sacar el 
usuario y crear las reglas en dependencia del usuario que es ?




__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Sobre acceso telefónico, usuarios y servicios

2015-10-29 Por tema Arian Molina Aguilera 

El 29/10/15 a las 07:47, Hugo Florentino escribió:

On Thu, 29 Oct 2015 03:14:11 +0100, mm...@mmely.de wrote:

Pienso que tendrías que buscar la forma de anclar los usuarios a
diferentes IPs locales y con eso hacer tus filtros en iptables.

Realmente no recuerdo si existe la manera de que puedas asignar
diferentes ip locales a los usuarios a pelo con pppd.



Si la hay, no la he encontrado.


De no existir pudieras:

1- Ver si con un servidor freeradius puedes lograrlo.



Jamas he usado freeradius y cuando intenté instalar uno me quedé como 
pescado en tarima. Si alguien ha conseguido algo parecido con 
freeradius, por favor que comparta las mieles.



2- Intentar jugar con el script ip-up (el que pppd llama cuando se
establece el enlace) y con los logs de pppd (o algún comandillo que te
de una salida decente) para sacar el user y de ahí puedes crear las
reglas para iptables que necesitas.



Bueno, yo estuve valorando usar ip-up pero hay un inconveniente, que 
solo trae de serie los siguientes parámetros:

$1 - el nombre de la interfaz (ej. ppp0)
$2 - el nombre del dispositivo tty
$3 - la velocidad del dispositivo tty
$4 - la dirección ip local de la interfaz
$5 - la dirección ip remota
$6 - el parametro especificado por la opcion ipparam

Sucede que lo ideal sería especificar en ipparam el nombre de usuario, 
pero increiblemente pppd no parece proporcionar una forma de obtenerlo 
directamente para conexiones entrantes, ya que este lo que hace es 
delegar la autenticación a pam.


Lo ideal seria extraer el usuario por ejemplo mediante pam_get_user o 
algo por el estilo y pasarlo como ipparam, pero aun no se como 
conseguirlo.




__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l


freeradius no tiene nada de complicado socio, es un mostro, pero se le 
conoce las entrañas, y hay muchos acá que lo implementamos para dar el 
servicio de PAP en nuestras empresas, puedes asignar ip estadísticos o 
dinámicos, según necesites, recuerdo cuando estaba en la UNE, utilizaba 
diferentes virtualhost en el freeradius, para dar diferentes servicios, 
por ejemplo un virtualhost, para los GPRS, otro para el PAP, y otro para 
la Wifi, así por ejemplo el PAP la asignación de ip era dinámica. para 
el GPRS era estática y un ip para cada número celular, para el Wifi, 
basadas en la MAC. No le tengas miedo, hay mucha documentación y 
ejemplos en internet, la propia doc que trae el paquete y los ejemplos, 
me bastaron en un inicio para ir conociéndolo. Salu2.


--
Ing. Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Nodo Central ARTex S.A. La Habana. Cuba.
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@jabber.artex.cu
Linux Usuario Registrado #392892





__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Sobre acceso telefónico, usuarios y servicios

2015-10-29 Por tema Hugo Florentino 

On Thu, 29 Oct 2015 03:14:11 +0100, mm...@mmely.de wrote:

Pienso que tendrías que buscar la forma de anclar los usuarios a
diferentes IPs locales y con eso hacer tus filtros en iptables.

Realmente no recuerdo si existe la manera de que puedas asignar
diferentes ip locales a los usuarios a pelo con pppd.



Si la hay, no la he encontrado.


De no existir pudieras:

1- Ver si con un servidor freeradius puedes lograrlo.



Jamas he usado freeradius y cuando intenté instalar uno me quedé como 
pescado en tarima. Si alguien ha conseguido algo parecido con 
freeradius, por favor que comparta las mieles.



2- Intentar jugar con el script ip-up (el que pppd llama cuando se
establece el enlace) y con los logs de pppd (o algún comandillo que 
te

de una salida decente) para sacar el user y de ahí puedes crear las
reglas para iptables que necesitas.



Bueno, yo estuve valorando usar ip-up pero hay un inconveniente, que 
solo trae de serie los siguientes parámetros:

$1 - el nombre de la interfaz (ej. ppp0)
$2 - el nombre del dispositivo tty
$3 - la velocidad del dispositivo tty
$4 - la dirección ip local de la interfaz
$5 - la dirección ip remota
$6 - el parametro especificado por la opcion ipparam

Sucede que lo ideal sería especificar en ipparam el nombre de usuario, 
pero increiblemente pppd no parece proporcionar una forma de obtenerlo 
directamente para conexiones entrantes, ya que este lo que hace es 
delegar la autenticación a pam.


Lo ideal seria extraer el usuario por ejemplo mediante pam_get_user o 
algo por el estilo y pasarlo como ipparam, pero aun no se como 
conseguirlo.




__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] Sobre acceso telefónico, usuarios y servicios

2015-10-28 Por tema mmely 


> Am 29.10.2015 um 00:58 schrieb Hugo Florentino :
> 
> Hola colegas,
> 
> Supongamos que habilito el acceso remoto a un servidor personal via 
> modem (mgetty + pppd). En ese servidor hay declarados 3 usuarios locales 
> que tienen permitido el acceso en pap-secrets. Sucede que nesitaría que:
> 
> usr1 tenga acceso al correo (pop/smtp), a la navegación (http/https), y 
> a utilizar ssh.
> usr2 solo al correo y la navegación.
> usr3 solo al correo.
> 
> Debe haber una forma de lograrlo, pero no he podido encontrarla. 
> Sugerencias?
> 

Pienso que tendrías que buscar la forma de anclar los usuarios a diferentes IPs 
locales y con eso hacer tus filtros en iptables.

Realmente no recuerdo si existe la manera de que puedas asignar diferentes ip 
locales a los usuarios a pelo con pppd.

De no existir pudieras:

1- Ver si con un servidor freeradius puedes lograrlo.

O

2- Intentar jugar con el script ip-up (el que pppd llama cuando se establece el 
enlace) y con los logs de pppd (o algún comandillo que te de una salida 
decente) para sacar el user y de ahí puedes crear las reglas para iptables que 
necesitas.

Saludos



 




__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

[Gutl-l] Sobre acceso telefónico, usuarios y servicios

2015-10-28 Por tema Hugo Florentino 

Hola colegas,

Supongamos que habilito el acceso remoto a un servidor personal via 
modem (mgetty + pppd). En ese servidor hay declarados 3 usuarios locales 
que tienen permitido el acceso en pap-secrets. Sucede que nesitaría que:


usr1 tenga acceso al correo (pop/smtp), a la navegación (http/https), y 
a utilizar ssh.

usr2 solo al correo y la navegación.
usr3 solo al correo.

Debe haber una forma de lograrlo, pero no he podido encontrarla. 
Sugerencias?



__
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l