Olvin пишет: > Eugene Prokopiev пишет: > >>>>>>>если это терминал сервер(на линуксе), то может получится использовать >>>>>>>iptables (он вроде умеет uid различать) >>>>>> >>>>>>Не получится... эта поддержка нифига не пашет как надо! >>> >>>Пашет. Только для исходящего трафика. >> >>Говорили вроде, что не работает на smp. Вы проверяли, все нормально? > > > Про SMP не знаю. > > >>>>>Кстати, я когда делал аналогичную штуку, обратил внимание что iptables >>>>>умеет различать uid только для исходящего трафика. Для входящего не >>>>>умеет. Но в таком случае, можно действительно каждому пользователю >>>>>выдать его личный Ip-шник и делать так: >>>>>-A OUTPUT -s 192.168.100.1 --uid-owner user1 -j ACCEPT >>>>>-A OUTPUT -s 192.168.100.2 --uid-owner user2 -j ACCEPT >>>>>-A OUTPUT -s 192.168.100.3 --uid-owner user3 -j ACCEPT >>>>>-A OUTPUT -s 192.168.100.0/24 -j REJECT >>>> >>>>интересно как тогда выглядит таблица маршрутизации :) ? >>>>возможно получится через iproute сделать маршрутизацию. >>> >>>Основной затык как раз в маршрутах. Они отрабатывают ещё до этих правил. >>>А так можно было бы сделать алиасы и действительно по адресам >>>разруливать и считать... >> >>А причем тут, собственно, маршруты, и как они могут помочь? Требуется, >>чтобы пакеты с --uid-owner user1 уходили с определенного адреса, и >>едиственный способ, который приходит мне в голову - это SNAT > > > SNAT работает уже после того, как принято решение о маршруте. > > >>Можно сформулировать задачу более общим образом, не привязываясь к >>первоначальной постановке с разделением трафика по пользователям. >>Допустим, наша нашина имеет интерфейс eth0 с адресами 10.0.0.101 >>10.0.0.102 10.0.0.103, шлюз - 10.0.0.1, на машине запущено приложение, >>привязанное к адресу 0.0.0.0. С какого адреса уйдут пакеты этого >>приложения > > > Т.е. какой адрес источника будет у исходящих пакетов? Это можно с > помощью SNAT. > > >>и можно ли как-то влиять на этот процесс? > > > Можно. SNAT. > Но в случае с интернет-выходом так просто не получится. Что бы работала > предложенная вами схема, нужно, чтобы провайдер выделил IP-адреса в > количестве, равном предполагаемому количеству интернет-пользователей. > Причём сразу. Это по деньгам не все могут себе позволить.
ну зачем же столько реальных адресов? ;) они могут быть серыми, а в интернет попадать через один шлюз (возможно в соседнем VE с терминальным сервером) тоже с SNAT :) -- С уважением, Прокопьев Евгений _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
