Konfigurieren Sie L2TP / IPSec so, dass die Benutzeridentität an die iptables-Regel übergeben wird

421
Emmanuel

Hallo, ich bin ziemlich neu in diesem Bereich, also musst du sehr deutlich sein.

Ich habe L2TP / IPSec auf CentOS eingerichtet, damit ich VPN bin. Benutzeridentitäten werden im gespeichert /etc/ppp/chap-secrets, hauptsächlich, weil die Dinge in dem von mir verwendeten Installationsskript funktionieren.

Nun möchte ich einige Regeln schreiben, um bestimmte Websites basierend auf dem Benutzer zu blockieren. Ich habe es versucht:

iptables -t nat -A PREROUTING -s badsite.com -m owner --uid-owner 100 -i eth0 -p tcp -s --dport 80 -j REDIRECT --to-destination http://myserver.com/blockedsitewarning

Dabei ist 100 die Unix-Konto-ID eines Mitarbeiters. Dies funktioniert jedoch nicht, da das chap-secretsKonto natürlich völlig vom passwdKonto getrennt ist.

Wie konfiguriere ich L2TP / IPSec und / oder iptables so, dass sie dasselbe Authentifizierungssystem und dieselbe Benutzeridentität verwenden? Bitte posten Sie aktuelle Konfigurationsdateien und nicht nur abstrakte Konzepte oder Links zu Manpages. Vielen Dank!!!

PS: Mir ist klar, dass diese Frage auch in anderen Foren gepostet wurde, aber in diesen Foren wurde sie als "Off-Topic" markiert. Ich hoffe, dass dieses Forum besser dafür geeignet ist. Wenn nicht, verweisen Sie mich bitte auf das richtige Forum.

0
"Chap-Geheimnisse"? Haben Sie wirklich IPSec eingerichtet und nicht wirklich L2TP? grawity vor 5 Jahren 0
Du hast Recht; Dies ist IPSec über L2TP. Aktualisiert die Beschreibung. Emmanuel vor 5 Jahren 0
Möglicherweise ist dies der Weg (siehe Abschnitt "Authentifizierung lokaler Benutzer (PAM // etc / passwd)") https://raymii.org/s/tutorials/IPSEC_L2TP_vpn_with_Ubuntu_13.10.html Emmanuel vor 5 Jahren 0
Leider verwendet diese Lösung openswan und scheint für die native IPSec nicht zu funktionieren. Emmanuel vor 5 Jahren 0
Es ist eine Lösung für ein völlig anderes Problem und macht "--uid-owner" nicht zum Erfolg, sondern nur zur Authentifizierung. (Aber ich bin nicht sicher, was Sie mit "nativer IPSec" meinen?) grawity vor 5 Jahren 0
Ich nehme an, dass es die Benutzernamen in passwd verwendet, damit sich die VPN-Benutzer mit anmelden können. Und ich hatte den Eindruck, dass derselbe Benutzer in --uid-owner verwendet wird, aber ich könnte mich irren. Es kann sein, dass der Benutzer nur der "aktuell angemeldete Benutzer" ist. Oder ein lokaler Prozess. In diesem Fall ist meine Vorstellung einer Filterung basierend auf dem VPN-Benutzer zum Scheitern verurteilt. Was denkst du? Mit "native" meine ich, dass es in centos installiert ist, im Gegensatz zu openswan, das ich installieren muss. Emmanuel vor 5 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme