Регистрация...

Eserv Forum / E4 / Proxy / Правила доступа для отображения портов

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Появилась необходимость открыть во вне некоторые внутренние ресурсы. Пробросил порты. все работает.
Но хотелось бы чтоб на них пускали не всех желающих, а определенных пользователей. Прописал в доступе
IsGroupMember: admin
acweb в логе пишет
TCPMAP ACL ERR=-2003 IsGroupMember: admin MAPTO: 192.168.10.хх0 80 - запрещен ACL: IsGroupMember: admin
и не пускает.
Подскажите, как правильно просать правило в доступе, чтоб запрашивало авторизацию, и пускало пользователей только из определенного проекта-группы?
 
Комментарии к этой версии (24.03.2011 11:05) [~ili_a] 950fd59f
АвторДатаТекстtags
pig24.03.2011 11:48
Отображения портов авторизацию не поддерживают. Это тупая труба, по которой идёт неизвестный протокол — следовательно, неизвестно, как там делать промежуточную авторизацию, и поддерживается ли она в этом протоколе вообще.
wikipost
dandy24.03.2011 12:17
а IP/MAC ?
wikipost
ili_a24.03.2011 12:26
ред: 24.03.2011 13:37
dandy пишет: а IP/MAC ?
А как в одном правиле прописать несколько IP, MAC?
Это web интерфейсы очень специфичных железяг, поэтому доступ должен быть однозначно ограничен, и желательно раньше чем кним пойдет запрос. Сначало хотел сделать на портале через
{{IncludeUrlPar: http://...}}
но им не очень корректно отображается, вот думаю как быть.
wikipost
ac24.03.2011 12:55
ili_a пишет: А как в одном правиле прописать несколько IP, MAC?

PeerIP= 8.8.8.8 PeerIP= 8.8.8.9 OR PeerIP= 8.8.8.10 OR
wikipost
ili_a24.03.2011 13:08
Выкрутился по другому, создал в админской папке внутреннего портала несколько html с iframe с путем на эти интерфейсы.
Спасибо за помощь, заодно с отображением портов у меня теперь полное понимание
wikipost
ili_a24.03.2011 13:33
ili_a пишет: Выкрутился по другому, создал в админской папке внутреннего портала несколько html с iframe с путем на эти интерфейсы.
Вот дурная голова, это же только в локалке работает . Думаю дальше, может у кого мысли возникнут, как реализовать?
wikipost
ili_a24.03.2011 14:20
ac пишет: PeerIP= 8.8.8.8 PeerIP= 8.8.8.9 OR PeerIP= 8.8.8.10 OR
PeerIP не понимает знаков подстановки? И есть ли заветное слово для MAC адреса?
wikipost
ac24.03.2011 15:19
PeerIP= не понимает, т.к. там есть еще PeerIP:Mask= (http://www.eserv.ru/SomeWordsForRules). Для MAC'ов — PeerMAC= .
wikipost
ili_a24.03.2011 16:10
ред: 24.03.2011 16:12
Спасибо, про PeerIP:Mask= уже нашел.
Как то странно PeerMAC= работает... не тороплюсь с выводами, логи где смотреть отброжения портов, а то не соображу, или только в acWeb.log?
wikipost
ac24.03.2011 18:41
В чем странность? Лог TCPMAP'ов (статистика) в DATA\log\stat\201103stat.txt, MAC-адрес там в предпоследнем поле.
wikipost
ili_a24.03.2011 19:05
PeerIP работает, а вот мо MAC адресу нет. То всех пускает, то никого. Где смотреть, какие логи?
wikipost
ili_a24.03.2011 19:23
201103stat.txt
2011-03-24 21:35:06;213.87.76.106;TCPMAP;0;0;0;0;627220;-;;85;;unknown 2011-03-24 21:35:06;213.87.76.106;TCPMAP;0;0;0;0;270713889;-;;85;;unknown 2011-03-24 21:35:31;213.87.76.106;TCPMAP;0;0;0;0;652501;-;;85;;unknown 2011-03-24 21:35:31;213.87.76.106;TCPMAP;0;0;0;0;270714139;-;;85;;unknown 2011-03-24 21:35:33;213.87.76.106;TCPMAP;0;0;0;0;654173;-;;85;;unknown 2011-03-24 21:35:33;213.87.76.106;TCPMAP;0;0;0;0;270714342;-;;85;;unknown 2011-03-24 21:35:35;213.87.76.106;TCPMAP;0;0;0;0;655798;-;;85;;unknown 2011-03-24 21:35:35;213.87.76.106;TCPMAP;0;0;0;0;270714639;-;;85;;unknown

До МАСов, видимо, дело не доходит.
Сначало пробовал в офисе, но эта чать лога мне не доступна — большой, долго качаться будет, инет у меня дома тормозной, видимо только завтра посмотрю
wikipost
ac24.03.2011 23:52
MAC'и у внешних соединений могут в некоторых случаях отсутствовать — например, если ваше подключение к интернету не голым Ethernet'ом, а через VPN. Если с того же внешнего IP (213.87.76.106) подключиться к другим службам Eserv'а, то MAC в логе будет?

Вообще для внешних соединений MAC-контроль наверное не сильнее контроля по IP, т.к. подделать IP в общем Интернете сложнее, чем сменить IP в локальной сети (маршрутизация вне контроля хакера). А подделать MAC можно в обоих случаях.
wikipost
ili_a29.03.2011 16:31
ac пишет: Если с того же внешнего IP (213.87.76.106) подключиться к другим службам Eserv'а, то MAC в логе будет?
Понятно. Маков нет при любых подключениях с этого ip. Значит будем относиться к отображению портов как к "Тупой трубе", как pig сказал. Тем более, что эти ресурсы нужны только админиам и не часто. Так что будем просто отключать-включать в админском интерфейсе когда это нужно.
Да, при этом обязательно acWeb перезагружать?
wikipost
pig29.03.2011 18:11
Если речь идёт о слушании портов, то да.
wikipost
Работает на Eserv/5.05555 (05.06.2016)