Сконфигурируйте L2TP / IPSec, чтобы идентификатор пользователя передавался правилу iptables

305
Emmanuel

Привет, я довольно новичок в этом, так что вам нужно быть очень откровенным.

Я установил L2TP / IPSec на CentOS, чтобы я мог VPN. Идентификационные данные пользователей хранятся в /etc/ppp/chap-secretsосновном потому, что именно так все и работает в сценарии установки, который я использовал.

Теперь я хочу написать некоторые правила для блокировки определенных сайтов на основе пользователя. Я старался:

iptables -t nat -A PREROUTING -s badsite.com -m owner --uid-owner 100 -i eth0 -p tcp -s --dport 80 -j REDIRECT --to-destination http://myserver.com/blockedsitewarning

где 100 - идентификатор учетной записи Unix сотрудника. Но это не будет работать, потому что, конечно, chap-secretsучетная запись полностью отделена отpasswd учетной записи.

Как мне настроить L2TP / IPSec и / или iptables, чтобы они использовали ту же систему аутентификации и идентификацию пользователя? Пожалуйста, публикуйте актуальные файлы конфигурации, а не просто абстрактные концепции или ссылки на справочные страницы. Спасибо!!!

PS: я понимаю, что этот вопрос был размещен и на других форумах, но на тех форумах он был помечен как "не по теме", поэтому я надеюсь, что этот форум будет лучше подходить для него. Если это не так, пожалуйста, направьте меня на соответствующий форум.

0
`CHAP-secrets`? Вы действительно настроили IPSec, а не L2TP? grawity 5 лет назад 0
Ты прав; это IPSec через L2TP. Обновлю описание. Emmanuel 5 лет назад 0
Возможно, так может быть (см. Раздел «Аутентификация локального пользователя (PAM // etc / passwd)») https://raymii.org/s/tutorials/IPSEC_L2TP_vpn_with_Ubuntu_13.10.html. Emmanuel 5 лет назад 0
К сожалению, это решение использует openswan и, похоже, не работает для нативного IPSec. Emmanuel 5 лет назад 0
Это решение для совершенно другой проблемы, и оно не заставит работать `--uid-owner` - оно просто для аутентификации. (Но я не уверен, что вы подразумеваете под "нативным IPSec"?) grawity 5 лет назад 0
Я предполагаю, что он будет использовать имена пользователей в passwd для пользователей VPN для входа в систему. И у меня сложилось впечатление, что тот же пользователь будет использоваться в --uid-owner, но я могу ошибаться. Может случиться так, что пользователь является «только зарегистрированным пользователем». Или локальный процесс. В этом случае моя идея фильтрации на основе VPN-пользователя обречена. Как вы думаете? Под «нативным» я подразумеваю, что он установлен в centos, а не в openswan, который я должен установить. Emmanuel 5 лет назад 0

0 ответов на вопрос

Похожие вопросы