[MASOCH-L] Iptables + AD

[Lao DanTong]

On Wed, 21 May 2008, Christian Lyra wrote:

> Mas a pergunta original é pertinente. Não é exatamente free, mas o
> projeto NuFw faz essa associação de usuario/regras de firewall. O NuFw
> possui o seu proprio cliente para fazer a autenticação, deixo ao cargo
> do perguntante descobrir se tem como integrar com o AD ou não.

pequena questão conceitual: no mesmo computador estão trabalhando dois 
usuários. p.ex. minha filha está usando meu iBook diretamente no modo 
gráfico (grande Apple!) e eu via ssh. um desses dois se autentica no 
firewall e consegue uma rota especial. o que impede o outro usuário de 
mandar pacotinhos por essa rota? ABSOLUTAMENTE NADA! simplesmente porque o 
firewall não tem como distinguir que pacotes foram produzidos por qual 
usuário! ok, ele poderia usar o serviço ident, mas a maioria nem roda 
servidor para isso e ident é tão fácil de enganar que nem tem graça.

esses produtos partem de um princípio equivocado de que há um usuário por 
máquina, uma interface por máquina, um IP por interface, portanto um 
usuário por IP, hipótese essa que é evidentemente FALSA.

se você quer configurar segurança em cima de hipóteses falsas, ok, vai 
firme, engata um AD no sonicwall, mas não vá reclamar depois!