Авторизация пользователей по IP



  • Хочу перейти с Керио на pfsense, начинаю осваивать...не могу понять как в Pfsense настроить авторизацию пользователей по IP (сеть без домена). В Керио у меня работало так: Регистрирую юзера в его настройках прописываю его IP, когда он заходит в инет, то авторизуется автоматом. Прописывать в ACL разрешенные адреса не очень удобно и информативно. Удобно в Керио то, что при необходимости можно снятие одной галочки отключить юзеру доступ в инет. Как это реализовать?



  • @vottak Здр
    Можно рассмотреть вот такой вариант
    В pf есть такое понятие anchor (якорь) , с помощью которого можно динамически подгружать-удалять правила ( по такому принципу работает связка fail2ban+pf на freebsd)

    https://www.openbsd.org/faq/pf/anchors.html

    В pfsense создаются автоматически несколько якорей , которые можно использовать в своих целях

    Вот они
    anchor "relayd/" all
    anchor "openvpn/
    " all
    anchor "ipsec/" all
    anchor "userrules/
    " all

    Т е можно создать простенький скрипт , который бы добавлял правило блокировки трафика для нужного IP , а по мере необходимости удалял бы этот ip из списка

    https://www.freebsd.org/cgi/man.cgi?query=pfctl&sektion=8

    https://www.freebsd.org/cgi/man.cgi?query=pf.conf&sektion=5&apropos=0&manpath=FreeBSD+12.0-RELEASE+and+Ports



  • @vottak у тебя Керио по IP определяет пользователя или все же есть какой-то прокси? Что будет если адрес сменится?



  • @Renat
    Если смениться IP, то соответственно у нового IP не будет выхода в интернет (у меня в сети жестко прописаны ip адреса; по DHCP адреса получают только беспроводные клиенты у них своих политики)



  • Ну такое, сомнительное распределение) У пфсенса есть Captive portal, это весчь) Зашел, логин-пароль ввел и вышел в инет. И никакой привязки нет.



  • @Renat
    не всегда возможно юзать логин-пароль. Есть специфическое ПО у бухов, манагеров, которое не поддерживает авторизацию по паролю.
    А Captive portal не позволяет организовать авторизацию по IP?



  • Специфичное ПО тут ни при чем. Браузер то у всех есть. Залогинился и можешь работать хоть в 1С.
    В интернет пускает не только браузер жеж.



  • @Renat

    @Renat said in Авторизация пользователей по IP:

    Браузер то у всех есть. Залогинился и можешь работать хоть в 1С.

    Это ясно, лишние, ненужные телодвижения...
    я так понимаю, что оптимальным будет указание в ACL разрешенных IPадресов...



  • @vottak ну везде свои нюансы) а в связи с чем переехать решил на пф?



  • В Captive portal можно прописать разрешенные mac или ip адреса, в kerio такой способ авторизации пользователей тоже есть, после этого пользователи,чьи mac(и) или ip прописаны, выходят в интернет без ввода логина и пароля.



  • @Renat said in Авторизация пользователей по IP:

    @vottak ну везде свои нюансы) а в связи с чем переехать решил на пф?

    Во первых Керио коммерческий, по функционалу проигрывает. Работа VPN через пень-колоду, не корректно работает в ряде случаев (работает только через свой клиент), не поддерживает OVPN.

    По удобству пользования Керио удобней, имхо

    @kesha1934 said in Авторизация пользователей по IP:

    В Captive portal можно прописать разрешенные mac или ip адреса, в kerio такой способ авторизации пользователей тоже есть, после этого пользователи,чьи mac(и) или ip прописаны, выходят в интернет без ввода логина и пароля.

    Спасибо, пойду искать чтиво по Порталу )



  • Оптимальный вариант:

    Настроить связку IP + MAC в DHCP (выдача постоянного ip)
    Создать Алиас(-ы) с нужными IP
    Пользовать Алиас(-ы) в правилах fw

    @Renat said in Авторизация пользователей по IP:

    @vottak ну везде свои нюансы) а в связи с чем переехать решил на пф?

    Аж подавился )



  • @werter береги себя 😸



  • @werter
    Спасибо. Это оптимальный вариант. Все работает как надо.


Log in to reply