PDA

View Full Version : block แยก group ได้มัยครับ



country007
04-05-2010, 16:53
ผมติดตั้งระบบ CentOS-5.3_Authen_Log_Server แต่ต้องการที่บล็อกบ้างกลุ่ม และปล่อยอิสระบ้างกลุ่มต้องทำอย่างงัยหรือครับขอคำแนะนำด้วยครับ

easyzonecorpdotnet
05-05-2010, 11:57
การแยกหลุ่ม อยู่ทีเราจะแยกโดยอะไรครับ

โดยปกติ จะแยกโดยคลาสของ ไอพี ง่ายที่สุด

แต่ chilli แจกแค่ คลาสเดียว จะทำการเยี่ยงไรครับ

rocky
05-05-2010, 14:20
ผมว่าไปบล็อกและแยก groupใน squid ดีกว่าครับ ง่ายดี

nook_nix
06-05-2010, 09:47
เอาคอนเส็ปไปครับ ง่ายยิ่งกว่าปอกกล้วย คุณทำแต่ละกรุ๊ปแล้วใช่มั้ยครับ โดยกรุ๊ปหนึ่งอาจจะมีหลายยูสเซอร์อยู่ในนั้น หากคุณต้องการบล็อกไม่ให้สมาชิกทั้งกรุ๊ปใช้งาน
คุณก็เพียงแค่เปลี่ยนพาสเวิร์ดให้คนทั้งกรุ๊ปมี x ต่อท้ายก็ได้ตอนนี้ก็ไม่มีใครใช้งานได้แล้วสำหรับกรุ๊ปนั้น หรืออาจจะแก้ Attribute ของ radius จาก Password เป็น Passwordx ทีนี้ทั้งกรุ๊ปนั้นก็ไม่มีใครใช้งานได้แล้วอ่ะครับ แต่ทั้งนี้ทั้งนั้นคุณก็เขียนโปรแกรมเองทั้ง disable และ enable เห็นป่ะง่ายๆๆ!

poy_local
09-05-2010, 09:22
เอาคอนเส็ปไปครับ ง่ายยิ่งกว่าปอกกล้วย คุณทำแต่ละกรุ๊ปแล้วใช่มั้ยครับ โดยกรุ๊ปหนึ่งอาจจะมีหลายยูสเซอร์อยู่ในนั้น หากคุณต้องการบล็อกไม่ให้สมาชิกทั้งกรุ๊ปใช้งาน
คุณก็เพียงแค่เปลี่ยนพาสเวิร์ดให้คนทั้งกรุ๊ปมี x ต่อท้ายก็ได้ตอนนี้ก็ไม่มีใครใช้งานได้แล้วสำหรับกรุ๊ปนั้น หรืออาจจะแก้ Attribute ของ radius จาก Password เป็น Passwordx ทีนี้ทั้งกรุ๊ปนั้นก็ไม่มีใครใช้งานได้แล้วอ่ะครับ แต่ทั้งนี้ทั้งนั้นคุณก็เขียนโปรแกรมเองทั้ง disable และ enable เห็นป่ะง่ายๆๆ!


ไม่ใช่เขาต้องการที่จะ บล๊อก บาง port บาง rule ตาม group ไม่ใช่เหรอคับ ยังคงให้ใช้งานเนตได้ตามปกติ เช่น group ครู กับ นักเรียน เล่นได้ปกติ ครูเข้าได้ทุกเว็บ นักเรียนบางเว็บเข้าไม่ได้ น่าจะแบบนี้ ตามความเข้าใจของผม

แต่แบบคุณนี่ เหมือนบล๊อกการเข้าใช้งานนิ เหรอว่าผมเข้าใจผิด ???

country007
09-05-2010, 15:14
จริงๆความต้องการของผมคือตรงกับความคิดเห็นของคุณ poy_local ปล่อยบางกลุ่มให้ทำงานได้ปกติทุกอย่าง แต่บางกลุ่มต้องการบล็อก

nook_nix
10-05-2010, 12:17
โอเคครับงั้นผมเข้าใจผิดเองครับ วิธีนี้ก็ไม่เคยยากสำหรับผมอยู่แล้วครับแล้วแต่ requirement ล่ะกันผมมันนักคิดคอนเส็ปที่เป็นไปได้เสมอ
คอนเส็ปคือ
1.ให้คุณทำ virtual ip ออกมาหนึ่งอันจากนั้นทำ virtual host ใน apache เพื่อแจ้งข่าวสารว่าห้ามใช้เว็บนี้ใน zone virtual นี้เป็นต้น
2.ให้คุณเขียนเงื่อนไขเอาเองจากส่วนไหนก็ได้ไม่ว่าจะเป็นจาก เรเดียสหรือจากการล้อกอินหรือใดๆที่เราจะทราบว่าหากพบการล้อกอินมาจากยูสเซอร์จากกลุ่มนี้ แล้วดูว่ามันมีไอพีอะไร จากนั้นให้เขียน rule ของ iptables ว่าหากไอพีนั้นๆมันมี destination เป็นไอพีของเว็บที่เราต้องการจะบล็อกก็ให้มันมีการรีไดเร็กด้วย iptables ไปที่ไอพีของ virtual ip ทันทีแล้วมันก็จะเข้าหน้าแจ้งเตือนเองตามที่เราได้ทำไว้ใน zone virtual นั้นๆ และเพื่อป้องกันการ reuse client IP ก็ให้ลบ rule นั้นเมื่อพบว่า user นั้นออกจากระบบไปแล้ว

ยากมั้ยคอนเส็ปนี้ ผมว่าง่ายมากๆ นะครับ งงไง PM หรือเมลล์มาก็ได้ครับยินดีให้คำปรึกษา
นี่คือ iptables redirect อย่างง่าย
/sbin/iptables -t nat -I PREROUTING -p tcp -s $IP/32 --dport 80 -d www.sanook.com (http://www.sanook.com) -j DNAT --to 192.168.2.1
หมายเหตุ
$IP= คือไอพีของไคลเอ้นท์ที่เรากำลังโฟกัส
192.168.2.1= ไอพีของ virtual ip ใน virtual host apache

easyzonecorpdotnet
10-05-2010, 13:42
แนวคิดน่าสนใจ ๆๆ

เพิ่มเติม ..

แต่หากมี 500 user iptables น่าจะ 500 บรรทัด แทนที่จะเป็นบรรทัดเดียวครับ หรือจะมีแนวอื่น

nook_nix
10-05-2010, 14:05
แนวคิดน่าสนใจ ๆๆ

เพิ่มเติม ..

แต่หากมี 500 user iptables น่าจะ 500 บรรทัด แทนที่จะเป็นบรรทัดเดียวครับ หรือจะมีแนวอื่น

ใช่แล้วครับมีหลายบรรทัด เดี่ยวผมไปทำการบ้านมาก่อนครับว่ามีวิธีอื่นที่จะย่นให้สั้นลงหรือเปล่า เดี๋ยวมาตอบ

webddgame
10-05-2010, 15:10
แนวคิด มีหลากหลายครับบ

1.สร้าง Chian เลยครับ เอา Chian ไปวางได้ ให้เป็นที่เป็นทาง
2.สร้าง iptables สำหรับ mark กลุ่ม ip ไปด้วยเลยครับ
3.จัดการ ในการ ตรวจสอบที่หน้าเว็บ ว่า ถ้า login ผ่าน แล้ว อยู่ในกลุ่ม ที่เป็นลักษณะกลุ่มนั้นอย่างไร ก็จัดการให้มัน ส่งคำสั่งใน script หรือ php ให้มันไปแปะไว้ใน chain นั้น ด้วยครับ ( ส่วนวิธีการเอาออกก็แล้วแต่ละคน )
4.ส่วนเรื่องของการ Redirect นั้น ก็ แบบ ด้านบนแหละครับแต่ ก็อย่างที่บอก ควรจะมี Chian ของมันไม่งั้น งง ตาย เลย เช่น มี หน้าเว็บให้มัน รี ได้ ถึง 4 รูปแบบ ถ้าเรา จัดการ redirect เว้บแต่ละเว็บใน โซนของ Prerouting ละตายครับ แนะนำให้ใช้ chain หรือไปใช้พวก ipset เค้ามาช่วย


ต้องแม่น และทำการทดลอง หลายๆครั้งนะครับ ถึงจะได้ ในรูปแบบที่ต้องการ ไม่มีอะไรยากครับคุณเจ้าของกระทู้

ที่แน่นอนคือ ต้องอาศัยความสามารถของ iptables + radius ด้วยนะครับ

สำหรับ 500 user ก็ คงจะต้องทำแบบนั้นนะครับคือ 500 บรรทัด แต่ น่าจะมีวิธีการดีกว่านี้ครับ อิอิ

easyzonecorpdotnet
10-05-2010, 16:50
ถ้าหากทำ ip range เอา หรือ เป็นแบบ

ip,ip,ip จะได้ไหมหนอ อิอิ ๆๆ

ผมว่าน่าจะเยอะกว่า 500 บรรทัดถ้า 500 user
เพราะถ้าเราต้อง drop 3 web เราก็ x3 ครับ
เท่ากับ 1500 บรรทัดนะครับ

พยายามกันต่อไป

nook_nix
10-05-2010, 17:54
ถ้าหากทำ ip range เอา หรือ เป็นแบบ

ip,ip,ip จะได้ไหมหนอ อิอิ ๆๆ

ผมว่าน่าจะเยอะกว่า 500 บรรทัดถ้า 500 user
เพราะถ้าเราต้อง drop 3 web เราก็ x3 ครับ
เท่ากับ 1500 บรรทัดนะครับ

พยายามกันต่อไป

ที่แน่ๆทำ range ไม่ได้แน่นอนเพราะบางคนไม่ได้อยู่กลุ่มบล็อกก็อาจล็อกอินสลับกับพวกถูกบล็อกได้และจะกลายมาเป็นผู้ถูกบล็อกด้วยในที่สุด
และทำแบบ ip,ip,ip ก็ไม่ได้เพราะลองแล้วครับ
และต้องการบล็อกกี่เว็บก็ต้อง *n (คูณ n) หนักเครื่องอีก มันต้องมีวิธีที่ง่ายกว่านี้สิน่า
ปล.ใครเสนอวิธีนี้ฟะ ;D ;D

easyzonecorpdotnet
11-05-2010, 00:37
นั่นนะสิใครหนอ ...

pomkung
11-05-2010, 22:28
ผมขอออกความเห็นแบบบ้านนอกละกัน ตามแบบฉบับไก่อ่อน

ถ้าเป็นผมนะ อิอิ ;D ;D ;D

2 วงแลน แจกคนละคลาส
คุณครูมีเครื่องประจำอยู่แล้ว เปิดเสรี
นักเรียนมีเยอะ ผ่าน radius บล็อคให้หมด
มันดูง่ายแบบบ้านๆ และ ไม่ตรงคอนเส็ป กับเจ้าของกระทู้ นะ

;D ;D ;D ;D ;D ;D ;D ;D ;D

easyzonecorpdotnet
12-05-2010, 05:03
ผมขอออกความเห็นแบบบ้านนอกละกัน ตามแบบฉบับไก่อ่อน

ถ้าเป็นผมนะ อิอิ ;D ;D ;D

2 วงแลน แจกคนละคลาส
คุณครูมีเครื่องประจำอยู่แล้ว เปิดเสรี
นักเรียนมีเยอะ ผ่าน radius บล็อคให้หมด
มันดูง่ายแบบบ้านๆ และ ไม่ตรงคอนเส็ป กับเจ้าของกระทู้ นะ

;D ;D ;D ;D ;D ;D ;D ;D ;D


หากเป็น wifi เราทำลำบากมากเลยครับ