https://www.opennet.ru/openforum/vsluhforumID3/12266.html Anton Karpov описал (http://www.opennet.ru/base/sec/authpf_auth.txt.html) один из путей решения проблемы подключения за чужой счет в домашней сети, через использование пакетного фильтра OpenBSD/PF и авторизационного шелла authpf (http://www.openbsd.org/faq/pf/authpf.html). <br><br><br>Т.е. при входе пользователя на сервер по ssh, автоматически поднимается NAT на тот адрес, который присвоен этому пользователю, после завершения сессии - правила трансляции удаляются.<br><br>URL: http://www.opennet.ru/base/sec/authpf_auth.txt.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=6123<br> https://www.opennet.ru/openforum/vsluhforumID3/12266.html#33 Sat, 04 Feb 2006 10:58:51 GMT &gt;Однако народ насколько я понял там постояно должен висеть шел от клиента <br>&gt;к серваку. Соответсвенно как толко хитромудрый чел меняет на чужой айпи <br>&gt;свой вместе с маком. Ему будет кукиш с маслом. Или я <br>&gt;не прав? <br><br>Да. Для того, чтобы у злоумышленника всё работало, надо ещё и SSH сессию перехватить.<br>Используя в настройках sshd следующие параметры<br>ClientAliveInterval 15<br>ClientAliveCountMax 3<br>можно лишить интернета того, кто просто подменил IP-MAC, менее, чем за минуту. https://www.opennet.ru/openforum/vsluhforumID3/12266.html#32 Mon, 21 Nov 2005 17:00:11 GMT Что-то никак не получается запустить authpf согласно man-ов.<br>Может кто напишнт пример конфигурационных файлов pf.conf,<br>authpf.conf и authpf.rules для доступа в сеть для примера одного юзера. https://www.opennet.ru/openforum/vsluhforumID3/12266.html#31 Wed, 28 Sep 2005 05:38:46 GMT На самом деле, ничего такого особенного в authpf - нет. Написать его аналог можно легко и не напрягаясь, куда более удобный и никак не связаный с SSH, работающий хоть по HTTP. Используется возможность динамического навешивания наборов и суб-наборов правил на PF динамически через управляющую структуру pfctl. Юзер логинится - authpf выдергивает из своего конфига эти правила, подменяет переменную $user_ip на IP коннектящегося юзера, добавляет в якорь authpf суб-набор с именем пользователя - и всех делов.<br>С таким же успехом можно создать скрипт на перле, который слушает определенный порт, получает коннект - и вызывает системной коммандой pfctl с параметрами, че-та типа `echo "pass in from $ip to any" &#124; pfctl -a perlpf:User -f -`<br>Намного интереснее другое - на эти правила можно поставить логгирование и таким образом считать трафик с привязкой пакетов к имени пользователя, снимая статистику с интерфейса pflog0. https://www.opennet.ru/openforum/vsluhforumID3/12266.html#30 Sat, 24 Sep 2005 08:56:21 GMT При тех же реквизитах ip/mac конфликта не будет. Будут dup'ы на ping и arp-request, но этого можно избежать, как можно избежать и ответа своей машинки на отсутствие приложения с портом клиента authpf (tcp как никак). Тут конечно не все без проблем, но при туннелированнии трафика через udp или icmp вполне можно работать одновремменно... https://www.opennet.ru/openforum/vsluhforumID3/12266.html#29 Fri, 23 Sep 2005 04:35:24 GMT &gt;нифига не понял. чем это отличается от простого vpn? и там и <br>&gt;там пароль. а если есть чужой пароль, то... <br>&gt;и там и там можно менять МАС и ip. так что в <br>&gt;чем преимущества? <br>В том, что не создается еще одного интерфейса на win и не ловим всех связанных с этим приятностей.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/12266.html#28 Fri, 23 Sep 2005 04:31:59 GMT &gt;&gt;Ну еще 2mb/юзверь на sshd накинь, как минимум. <br>&gt;<br>&gt;Трафик через ssh не идет. Юзер по ssh заходит для того чтобы <br>&gt;на него поднялся NAT,никакого тунеля при этом не нужно. Все просто <br>&gt;и элегантно....для админа. <br>Так никто и не против и в этом вся прелесть<br>&gt;<br>&gt;Для того чтобы это было просто и элегантно для пользователя, можно обойтись <br>&gt;без ssh, а поставить apache+mod_ssl, написать простой CGI скрипт, который при <br>&gt;правильном вводе пароля будет открывать NAT, и раз в минуту проверять <br>&gt;не закрыл ли клиент окно в браузере. Если закрыл - NAT <br>&gt;на его IP убирается. <br>Вот при ssh именно и не надо думать о том чтобы что-то проверять - все уже и так работает.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/12266.html#27 Thu, 22 Sep 2005 02:26:08 GMT Однако народ насколько я понял там постояно должен висеть шел от клиента к серваку. Соответсвенно как толко хитромудрый чел меняет на чужой айпи свой вместе с маком. Ему будет кукиш с маслом. Или я не прав?<br> https://www.opennet.ru/openforum/vsluhforumID3/12266.html#26 Wed, 21 Sep 2005 19:04:53 GMT &gt;Даже в этом случае можно без проблем своровать трафик у уже авторизованного <br>&gt;клиента - это решение только "на время" (пока клиенты не научаться <br>&gt;обманывать эту систему) <br><br>Расскажите, как это сделать без проблем. Читал уже подобное обсуждение. Можно сменить ip/mac на ip/mac авторизованного пользователя, в данный момент находящегося в сети. Тогда из-за конфликта мак-адресов клиент или нарушитель вылетят из сети, либо оба будут работать с огромными тормозами. То есть в любом случае проблемы будут. Или я что-от упускаю.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/12266.html#25 Wed, 21 Sep 2005 19:02:42 GMT Человек привел в статье скрипт в одну строчку. Ну где тут "изобретение" хоть велосипеда, хоть чего. Решение очень простое и к ресурсам не требовательно и IMHO этим и примечательно. Для mpd нужно много чего крутить (постов на опеннет типа "и снова мпд" вооооон сколько). Для apache+ssl тоже cgi-скрипт писать надо. А тут все уже написано.