Gast
2004-05-24, 13:12:26
Hi zusammen,
ich wollte mal ein Problemfall vorstellen um dessen Lösung und Mithilfe ich euch gerne bitten würde.
Ich benutze Arch Linux mit den üblichen Leckereien wie
dhcpd ntp snat via iptables samba und tralala
Nun soll dieser Rechner Einsatz finden in einem LAN und dort maßgeblich als Router ggf. als WINS Server und als Fileserver fungieren.
Das Problem ist nun in diesem LAN wandern am Wochenende gelegentlich ein paar Segmente temporär rein (Freunde die LAN zocken wollen)
Nun diese Jungs sollen keinen Zugriff auf das Inet haben im Gegensatz zu den Segmenten die permanenter Bestandteil des LANS sind.
Es gibt verschiedenen Lösungsansätze die ich mal beschreibe:
- IPTables Filterregel über MAC Adresse bei SNAT
- Bei Masquerading nur einen kleinen Bitbereich maskieren und dann über dhcpd die Besucher in den Bereich außerhalb des maskierten zu setzen.
Letzte und beste Lösung wie ich finde Samba als PDC und jedes angehende Domainmitglied muss sich am Server authentifizieren dann werden bestimmte Skripte ausgeführt und die Firewallregeln werden für die jeweiligen User angepasst.
Habt ihr vielleicht andere Vorschläge oder gibt es gar Pakete die mir derartiges ermöglichen zum Beispiel SOCKS5 oder ähnliches.
ich wollte mal ein Problemfall vorstellen um dessen Lösung und Mithilfe ich euch gerne bitten würde.
Ich benutze Arch Linux mit den üblichen Leckereien wie
dhcpd ntp snat via iptables samba und tralala
Nun soll dieser Rechner Einsatz finden in einem LAN und dort maßgeblich als Router ggf. als WINS Server und als Fileserver fungieren.
Das Problem ist nun in diesem LAN wandern am Wochenende gelegentlich ein paar Segmente temporär rein (Freunde die LAN zocken wollen)
Nun diese Jungs sollen keinen Zugriff auf das Inet haben im Gegensatz zu den Segmenten die permanenter Bestandteil des LANS sind.
Es gibt verschiedenen Lösungsansätze die ich mal beschreibe:
- IPTables Filterregel über MAC Adresse bei SNAT
- Bei Masquerading nur einen kleinen Bitbereich maskieren und dann über dhcpd die Besucher in den Bereich außerhalb des maskierten zu setzen.
Letzte und beste Lösung wie ich finde Samba als PDC und jedes angehende Domainmitglied muss sich am Server authentifizieren dann werden bestimmte Skripte ausgeführt und die Firewallregeln werden für die jeweiligen User angepasst.
Habt ihr vielleicht andere Vorschläge oder gibt es gar Pakete die mir derartiges ermöglichen zum Beispiel SOCKS5 oder ähnliches.