Re: [Gutl-l] Sobre acceso telefónico, usuarios y servicios
On Thu, 29 Oct 2015 20:14:18 +0100, Manuel Mely wrote: Si también pensé en «ipparam» pero sucede lo que dices. Era el único que te hubiera podido servir. No obstante, volviendo a «ip-up», quizás pudieras ahí mismo sacar el usuario y crear las reglas en dependencia del usuario que es ? Si, creo que intentaré algo como esto: USUARIO=$(last | grep $(basename("$2")) | grep logged | cut -d ' ' -f1) Después lo evalúo con un CASE o algo por el estilo, y declaro las reglas de iptables relevantes, y entonces solo queda hacer un pooc de limpieza cuando se desconecte el enlace. En fin es solo una idea, aun no he podido probarla pero en teoría debería funcionar. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Sobre acceso telefónico, usuarios y servicios
On 10/29/2015 12:47 PM, Hugo Florentino wrote: 2- Intentar jugar con el script ip-up (el que pppd llama cuando se establece el enlace) y con los logs de pppd (o algún comandillo que te de una salida decente) para sacar el user y de ahí puedes crear las reglas para iptables que necesitas. Bueno, yo estuve valorando usar ip-up pero hay un inconveniente, que solo trae de serie los siguientes parámetros: $1 - el nombre de la interfaz (ej. ppp0) $2 - el nombre del dispositivo tty $3 - la velocidad del dispositivo tty $4 - la dirección ip local de la interfaz $5 - la dirección ip remota $6 - el parametro especificado por la opcion ipparam Sucede que lo ideal sería especificar en ipparam el nombre de usuario, pero increiblemente pppd no parece proporcionar una forma de obtenerlo directamente para conexiones entrantes, ya que este lo que hace es delegar la autenticación a pam. Lo ideal seria extraer el usuario por ejemplo mediante pam_get_user o algo por el estilo y pasarlo como ipparam, pero aun no se como conseguirlo. Si también pensé en «ipparam» pero sucede lo que dices. Era el único que te hubiera podido servir. No obstante, volviendo a «ip-up», quizás pudieras ahí mismo sacar el usuario y crear las reglas en dependencia del usuario que es ? __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Sobre acceso telefónico, usuarios y servicios
El 29/10/15 a las 07:47, Hugo Florentino escribió: On Thu, 29 Oct 2015 03:14:11 +0100, mm...@mmely.de wrote: Pienso que tendrías que buscar la forma de anclar los usuarios a diferentes IPs locales y con eso hacer tus filtros en iptables. Realmente no recuerdo si existe la manera de que puedas asignar diferentes ip locales a los usuarios a pelo con pppd. Si la hay, no la he encontrado. De no existir pudieras: 1- Ver si con un servidor freeradius puedes lograrlo. Jamas he usado freeradius y cuando intenté instalar uno me quedé como pescado en tarima. Si alguien ha conseguido algo parecido con freeradius, por favor que comparta las mieles. 2- Intentar jugar con el script ip-up (el que pppd llama cuando se establece el enlace) y con los logs de pppd (o algún comandillo que te de una salida decente) para sacar el user y de ahí puedes crear las reglas para iptables que necesitas. Bueno, yo estuve valorando usar ip-up pero hay un inconveniente, que solo trae de serie los siguientes parámetros: $1 - el nombre de la interfaz (ej. ppp0) $2 - el nombre del dispositivo tty $3 - la velocidad del dispositivo tty $4 - la dirección ip local de la interfaz $5 - la dirección ip remota $6 - el parametro especificado por la opcion ipparam Sucede que lo ideal sería especificar en ipparam el nombre de usuario, pero increiblemente pppd no parece proporcionar una forma de obtenerlo directamente para conexiones entrantes, ya que este lo que hace es delegar la autenticación a pam. Lo ideal seria extraer el usuario por ejemplo mediante pam_get_user o algo por el estilo y pasarlo como ipparam, pero aun no se como conseguirlo. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l freeradius no tiene nada de complicado socio, es un mostro, pero se le conoce las entrañas, y hay muchos acá que lo implementamos para dar el servicio de PAP en nuestras empresas, puedes asignar ip estadísticos o dinámicos, según necesites, recuerdo cuando estaba en la UNE, utilizaba diferentes virtualhost en el freeradius, para dar diferentes servicios, por ejemplo un virtualhost, para los GPRS, otro para el PAP, y otro para la Wifi, así por ejemplo el PAP la asignación de ip era dinámica. para el GPRS era estática y un ip para cada número celular, para el Wifi, basadas en la MAC. No le tengas miedo, hay mucha documentación y ejemplos en internet, la propia doc que trae el paquete y los ejemplos, me bastaron en un inicio para ir conociéndolo. Salu2. -- Ing. Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Nodo Central ARTex S.A. La Habana. Cuba. Telfs: +53(7)2047874, +53(7)204-2710 ext 123 jabber: ar...@jabber.artex.cu Linux Usuario Registrado #392892 __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Sobre acceso telefónico, usuarios y servicios
On Thu, 29 Oct 2015 03:14:11 +0100, mm...@mmely.de wrote: Pienso que tendrías que buscar la forma de anclar los usuarios a diferentes IPs locales y con eso hacer tus filtros en iptables. Realmente no recuerdo si existe la manera de que puedas asignar diferentes ip locales a los usuarios a pelo con pppd. Si la hay, no la he encontrado. De no existir pudieras: 1- Ver si con un servidor freeradius puedes lograrlo. Jamas he usado freeradius y cuando intenté instalar uno me quedé como pescado en tarima. Si alguien ha conseguido algo parecido con freeradius, por favor que comparta las mieles. 2- Intentar jugar con el script ip-up (el que pppd llama cuando se establece el enlace) y con los logs de pppd (o algún comandillo que te de una salida decente) para sacar el user y de ahí puedes crear las reglas para iptables que necesitas. Bueno, yo estuve valorando usar ip-up pero hay un inconveniente, que solo trae de serie los siguientes parámetros: $1 - el nombre de la interfaz (ej. ppp0) $2 - el nombre del dispositivo tty $3 - la velocidad del dispositivo tty $4 - la dirección ip local de la interfaz $5 - la dirección ip remota $6 - el parametro especificado por la opcion ipparam Sucede que lo ideal sería especificar en ipparam el nombre de usuario, pero increiblemente pppd no parece proporcionar una forma de obtenerlo directamente para conexiones entrantes, ya que este lo que hace es delegar la autenticación a pam. Lo ideal seria extraer el usuario por ejemplo mediante pam_get_user o algo por el estilo y pasarlo como ipparam, pero aun no se como conseguirlo. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Sobre acceso telefónico, usuarios y servicios
> Am 29.10.2015 um 00:58 schrieb Hugo Florentino : > > Hola colegas, > > Supongamos que habilito el acceso remoto a un servidor personal via > modem (mgetty + pppd). En ese servidor hay declarados 3 usuarios locales > que tienen permitido el acceso en pap-secrets. Sucede que nesitaría que: > > usr1 tenga acceso al correo (pop/smtp), a la navegación (http/https), y > a utilizar ssh. > usr2 solo al correo y la navegación. > usr3 solo al correo. > > Debe haber una forma de lograrlo, pero no he podido encontrarla. > Sugerencias? > Pienso que tendrías que buscar la forma de anclar los usuarios a diferentes IPs locales y con eso hacer tus filtros en iptables. Realmente no recuerdo si existe la manera de que puedas asignar diferentes ip locales a los usuarios a pelo con pppd. De no existir pudieras: 1- Ver si con un servidor freeradius puedes lograrlo. O 2- Intentar jugar con el script ip-up (el que pppd llama cuando se establece el enlace) y con los logs de pppd (o algún comandillo que te de una salida decente) para sacar el user y de ahí puedes crear las reglas para iptables que necesitas. Saludos __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
[Gutl-l] Sobre acceso telefónico, usuarios y servicios
Hola colegas, Supongamos que habilito el acceso remoto a un servidor personal via modem (mgetty + pppd). En ese servidor hay declarados 3 usuarios locales que tienen permitido el acceso en pap-secrets. Sucede que nesitaría que: usr1 tenga acceso al correo (pop/smtp), a la navegación (http/https), y a utilizar ssh. usr2 solo al correo y la navegación. usr3 solo al correo. Debe haber una forma de lograrlo, pero no he podido encontrarla. Sugerencias? __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l