有没有办法在 iptables 中定义基于用户的规则,例如 Active Directory 用户或具有动态 IP 的自定义用户列表?
这是我发现的一个项目,但它现在不活跃,所以对我来说不起作用。 http://www.ufwi.org/
答案1
这是可能的,但它需要 iptables 之外的其他东西来进行身份验证。光滑墙[偏见警告:我在那里工作] 在 Web 过滤器或强制门户中使用 ntlm、kerberos 等来识别用户:IP 对,然后可以触发特定的 iptables 规则。
有时,如果某人已注销或只是有一段时间没有重新进行身份验证,则很难确定,但总的来说,它运行良好。
答案2
如果您以更明确的方式告诉我们您想要实现的目标,那么我们也许能够为您提供更好的答案。
Iptables/netfilter 作用于数据包。一般来说,数据包无法与特定用户关联。因此,您无法根据特定 AD 用户编写规则。
答案3
您要求的是使用基于 Windows 的用户帐户来处理基于 *nix 的系统。虽然这当然可以做到,但我还没有听说过有产品提供这种功能。但是,编写一个可以查询 Active Directory 并使用结果数据更新 iptables 的程序或脚本是相当可行的。基本操作与使用 Active Directory 身份验证进行 Web 应用程序没有什么不同,因此您可以查找 PHP 示例来为您提供良好的开端。
答案4
不,使用 iptables 无法做到这一点。Checkpoint例如,有企业防火墙可以做到这一点。