решил поиграться с суперлюимином

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 13 фев 2012, 06:58

начали с суперлюмина ... кончили сквидом.

на третье: у меня от сквида впечатление, что у него совсем не здраво в работе с диском. BM с томами на TFS вот наш идеал скорости. SLN в этом плане шаг вперед (режет кеш разделы в своем формате (unknown partition type) и работает мимо OS и сам кеширует отьедая к что-то около 6,5гб из 8 на стенде).

на второе: viewtopic.php?f=2&t=11421&hilit=squidtrust

на первое: Цитата крейга
Since Nemesis static NAT is not a one-to-one IP address-to-IP address
mapping, but instead maps per port number, the address
conservation idea of a proxy doesn’t even apply.

Ну то есть в их понимании статик нат проброс порта а не IP<->IP (при этом входящий валит к нам на secondary ip, транслируются dest ip, dest port а исходящий уходит наружу не с secondary ip а с главного внешнего ip через динамический нат ). Как говорят производители - руками дергать iptables и вообще что-либо настраивать вручную противопоказано тк у SLN конфиг один в XLM виде настраиваемый через вебморду и он все настройки берет оттуда
(Сам видел - наконфигуряешь к примеру АПАЧЪ - /etc/apache2/listener.conf а он раз в сутки по шаблонам его восстанавливает - помогает правка шаблона правда но разрабы дружно говорят мол это "not-supported !!!!"). Разрабы говорят мол этоу нас тн Appliance и так было задумано. А на вопрос почему нельзя было сделать аналог STATIC нат как в БМ (блин SNAT зачем в iptables ?) ане ответили мол _мы используем как основу SuSE Firewall а он такого мол не позволяет_. Накой мне такой Suse Firewall ???? Накой мне такой СуперЛюмин ???

Четвертое: рассмотрим BM как мотор+колеса+кузов. То есть Прокси + VPN + Firewall.
Опустим VPN. Если прокси с прозрачной авторизацией это будет squid+squidtrust (правда с плайн-текст конфигами и без гуя - не пинать - все ходят в отпуска и их кто-то подменяет). То файрволл это пусть будет fwbuilder (то есть chconfig SuSE_firewall2 off, fwbuilder on) без отговорок что мол у нас апплайнс и никак по другому ничего не завернуть.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 13 фев 2012, 11:10

Понятно.

в части iptables - предпочитаю писать руками правила, зайдя по ssh. хотя совсем не сложно настроить и что-бы правила брало из eDir само. а уж каким макаром правила прописывать в eDir будет человек - кому как нравится.

в части squidtrust - заложенная технология не позволяет использовать в треминальном сервере ?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 13 фев 2012, 11:48

если на терминалку то велкам то SuperLumin - там cookie based auth. если я ее отключаю через cookie = off + ip overrode cookie = off,
и если не сработал SSO и failback логин через форму пройдет ОК то он пускает без запроса напроля _навсегда_ до ребута сервера.

Вот такое хреновое лето :(
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Иван Иванов » 13 фев 2012, 12:03

skoltogyan писал(а):Третье - "Или бесплатный сквид или отлаженная ИСА." повторю ранее задававшийся вопрос - чем плох squid ?

Он не плох но ИСА намного лучше. Нормальная система прозрачной авторизации как ната так и прокси, интегрированный VPN сервер с привязкой к АД, возможность разграничивать доступ не только для пользователей и IP а и для приложений (например дать скайпу Сидорова полный доступ через нат а всему остальному только через прокси), протоколы и мониторы работы информативнее (сразу видно всю сетевую активность, не нужно выяснить кто сидит в данный момент за компьютером выедающим трафик). Конечно почти всего этого можно добиться и на линуксе но как-то везде все кусками и нужно научным тыком делать самому. Вполне может быть что проще купить ИСУ на пару процессоров и не сушить мозги.
Иван Иванов
 
Сообщения: 448
Зарегистрирован: 19 апр 2004, 14:02

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 13 фев 2012, 12:49

из того, что Вы Иван написали :) , присоединяюсь только к "разграничить доступ для приложений"
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 13 фев 2012, 13:27

я бы присоединился к нату с аутентификацией .... iptables + pam (с динамической конфигурацией правил для IP по которому атентифицируется пользователь ... ) ? даже не знаю будет оно жить или нет ....
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 13 фев 2012, 13:45

"(с динамической конфигурацией правил для IP по которому атентифицируется пользователь ... ) ? даже не знаю будет оно жить или нет ...." - это что именно имеется ввиду ?
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 13 фев 2012, 13:54

имеется iptables в котором динамически создаются разрещающие правила при прозрачной аутентификации пользователя.
соответственно при нективности пользователя правила удаляются.

гуглится старый проект Authentication Gateway . в нем для аутентификации на gateway использовался телнет. почему бы не сделать связку с clntrust/squidtrust итд ?
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 13 фев 2012, 17:09

так это на базе openvpn легко .
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: решил поиграться с суперлюимином

Сообщение Иван Иванов » 13 фев 2012, 17:29

skoltogyan писал(а):так это на базе openvpn легко .

Что-то мне кажется что так из пушки по воробьям. Нагрузка на сервер должна быть приличная. Выедаются IP адреса.
Иван Иванов
 
Сообщения: 448
Зарегистрирован: 19 апр 2004, 14:02

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 13 фев 2012, 17:42

помнится раньше провы лепили на msvpn без шифрования ...
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 13 фев 2012, 18:54

да, openvpn выдает , при логине адрес из пула.
и тот-же openvpn , на основании ИМЕНИ пользователя залогинившегося, присваивает ему нужные правила в iptables.
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: решил поиграться с суперлюимином

Сообщение Иван Иванов » 14 фев 2012, 12:01

Вот http://www.ufwi.org/ какая-то реализация управляемого ната.
Иван Иванов
 
Сообщения: 448
Зарегистрирован: 19 апр 2004, 14:02

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 15 фев 2012, 08:32

и без этого сделал и работает и управляется через imanager или c1
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 15 фев 2012, 13:13

Я тут подумал и решил что легко допилить до ума шифрование в squidtrust.exe / squidtrust.pl
юзаем use Crypt::OpenSSL::RSA ; в .exe - OpenSSL
на стороне clntrust.pl private key
на стороне clntrust.exe public.key
ответ clntrust.exe перед отправкой шифруем открытым ключом
и хелпером (.pl) делаем $key_private->decrypt.

как-то так.

upd: воркает.

_чуть_ утяжелит но с учетом того что надо декриптовать лишь fdn и лишь 1 раз в $ttl минут то думаю будет ок. наворачивать тут обмен сессионными ключами с шифрацией обмена симметричными алгоритмами имхо это перебор. а так было интересно зяглянуть внутрь openssl :) одно могу сказать таки ватком все :( - даже опенссл штатно не собрать ...
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Пред.След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron