有没有办法在iptables中定义基于用户的规则,如Active Directory用户或具有dynamicIP的自定义用户列表?
这是我find的一个项目,但现在不活跃,所以它不适合我。 http://www.ufwi.org/
这是可能的,但它需要iptables以外的其他东西进行身份validation。 Smoothwall [偏见警告:我在那里工作]在网页filter或强制门户中使用ntlm,kerberos等来识别用户:IP对,然后可以触发特定的iptables规则。
有时候,要确定是否有人退出了,或者在一段时间内没有重新authentication,但总的来说效果不错。
如果你告诉我们你试图达到的是一个不太模糊的方法,那么我们可能会给你更好的答案。
Iptables / netfilter工作在数据包上。 一般来说,数据包没有任何方法将它们绑定到特定的用户。 所以不,你不能写出基于特定AD用户的规则。
你所要求的是使用基于Windows的用户帐户的基于* nix的系统。 虽然这当然可以做,但我还没有学习提供这种设备的产品。 然而编写一个可以查询活动目录的程序或脚本并用结果数据更新iptables是十分可行的。 使用Web应用程序的Active Directory身份validation基本没有什么不同,因此您可以查看PHP示例,为您提供一个良好的开始。
不,使用iptables是不可能的。 有企业防火墙(例如Checkpoint ),这是有能力的。