Авторизация пользователей по IP

vottak

Хочу перейти с Керио на pfsense, начинаю осваивать...не могу понять как в Pfsense настроить авторизацию пользователей по IP (сеть без домена). В Керио у меня работало так: Регистрирую юзера в его настройках прописываю его IP, когда он заходит в инет, то авторизуется автоматом. Прописывать в ACL разрешенные адреса не очень удобно и информативно. Удобно в Керио то, что при необходимости можно снятие одной галочки отключить юзеру доступ в инет. Как это реализовать?

Konstanti

@vottak Здр
Можно рассмотреть вот такой вариант
В pf есть такое понятие anchor (якорь) , с помощью которого можно динамически подгружать-удалять правила ( по такому принципу работает связка fail2ban+pf на freebsd)

https://www.openbsd.org/faq/pf/anchors.html

В pfsense создаются автоматически несколько якорей , которые можно использовать в своих целях

Вот они
anchor "relayd/" all
anchor "openvpn/" all
anchor "ipsec/" all
anchor "userrules/" all

Т е можно создать простенький скрипт , который бы добавлял правило блокировки трафика для нужного IP , а по мере необходимости удалял бы этот ip из списка

https://www.freebsd.org/cgi/man.cgi?query=pfctl&sektion=8

https://www.freebsd.org/cgi/man.cgi?query=pf.conf&sektion=5&apropos=0&manpath=FreeBSD+12.0-RELEASE+and+Ports

Renat

@vottak у тебя Керио по IP определяет пользователя или все же есть какой-то прокси? Что будет если адрес сменится?

vottak

@Renat
Если смениться IP, то соответственно у нового IP не будет выхода в интернет (у меня в сети жестко прописаны ip адреса; по DHCP адреса получают только беспроводные клиенты у них своих политики)

Renat

Ну такое, сомнительное распределение) У пфсенса есть Captive portal, это весчь) Зашел, логин-пароль ввел и вышел в инет. И никакой привязки нет.

vottak

@Renat
не всегда возможно юзать логин-пароль. Есть специфическое ПО у бухов, манагеров, которое не поддерживает авторизацию по паролю.
А Captive portal не позволяет организовать авторизацию по IP?

Renat

Специфичное ПО тут ни при чем. Браузер то у всех есть. Залогинился и можешь работать хоть в 1С.
В интернет пускает не только браузер жеж.

vottak

@Renat

@Renat said in Авторизация пользователей по IP:

Браузер то у всех есть. Залогинился и можешь работать хоть в 1С.

Это ясно, лишние, ненужные телодвижения...
я так понимаю, что оптимальным будет указание в ACL разрешенных IPадресов...

Renat

@vottak ну везде свои нюансы) а в связи с чем переехать решил на пф?

kesha1934

В Captive portal можно прописать разрешенные mac или ip адреса, в kerio такой способ авторизации пользователей тоже есть, после этого пользователи,чьи mac(и) или ip прописаны, выходят в интернет без ввода логина и пароля.

vottak

@Renat said in Авторизация пользователей по IP:

@vottak ну везде свои нюансы) а в связи с чем переехать решил на пф?

Во первых Керио коммерческий, по функционалу проигрывает. Работа VPN через пень-колоду, не корректно работает в ряде случаев (работает только через свой клиент), не поддерживает OVPN.

По удобству пользования Керио удобней, имхо

@kesha1934 said in Авторизация пользователей по IP:

В Captive portal можно прописать разрешенные mac или ip адреса, в kerio такой способ авторизации пользователей тоже есть, после этого пользователи,чьи mac(и) или ip прописаны, выходят в интернет без ввода логина и пароля.

Спасибо, пойду искать чтиво по Порталу )

werter

Оптимальный вариант:

Настроить связку IP + MAC в DHCP (выдача постоянного ip)
Создать Алиас(-ы) с нужными IP
Пользовать Алиас(-ы) в правилах fw

@Renat said in Авторизация пользователей по IP:

@vottak ну везде свои нюансы) а в связи с чем переехать решил на пф?

Аж подавился )

Renat

@werter береги себя

vottak

@werter
Спасибо. Это оптимальный вариант. Все работает как надо.