Für jeden User eines PCs eine andere IP - wie geht das ?

[D.o.S.]

Hallo,
ich würde gerne unter openSuse 13.2 jedem User ein andere IP zu weisen. Wie geht das ?

Mein erster ansatz war über den Networklmanager unterschiedliche Profile anzulegen, jeweils mit Rechten nur für einen spezifischen User und dann in jedem Profil manuell eine andere IP zu setzen.
Für wlan funktioniert es. Bei Lan gibt es masive Problem bis zum extrem langsamen System oder Hänger beim Shutdown.
Hab allerdings keine Ahnung von ds Problem liegt.

Ist der Weg über verschieden Profil im Networkmanager der richtige Weg, oder ist ein anderer Ansatz besser ?

Bringt es das System durcheinander, wenn man dann 2 Sessions parallel gestartet hat (die hätten dann ja unterschiedlich IPs) ?

 

[marce]

Ich würde mich eher fragen, was denn der Sinn der Aktion sein soll?

 

[/dev/null]

Hallo,

mal ganz abgesehen von der (IMHO) völligen Sinnfreiheit dieses Anliegens (oder wir verstehen den Sinn nur nicht, kann ja sein ...), kann man ja unter Linux einer NIC mehrere virtuelle Adressen verpassen (oder, wenn die Möglichkeit besteht, mehrere NIC einbauen). Und dann ein entsprechendes Routing-Regelwerk ausdenken.
Das erste ist ja gut dokumentiert (u. a. => Linux: Mehrere IP-Adressen an ein Netzwerkinterface binden), beim Routing wüsste ich ehrlicherweise nicht, wie du das den einzelnen UID zuweisen willst.

BTW:
Im IP-Phone-Forum hatten wir mal einen ähnlichen "Fall". Da wollte ein User, um seine Identität gegenüber *** zu verschleiern, nach jeder Minute durch einen Neuconnect seines Routers eine andere (offizielle) IP haben.
Na dann fröhliches Surfen ... .


MfG Peter

 

[Jägerschlürfer]

wenn es eher darum geht, herauszufinden wer wann und wie lange im Internet war/ist, würde ich eher einen Proxy einrichten bei dem sich die jeweiligen User anmelden müssen, bevor diese Zugriff aufs Internet haben.

 

[D.o.S.]

Der Sinn des Ganzen ist es am Router (FritzBox) unterschiedliche Regeln für den jeweiligen User einstellen zu können. Dieses Separieren auf Router-Seite würden entweder über unterschiedliche IPs (bei gliecher MAC) oder unterschiedlichen MACs funktionieren.
Wäre es besser anstatt der IP für jeden User eine andere MAC einzutragen ?

 

[D.o.S.]

Hallo,
hab mir den Link gerade angesehen.
Wenn ich das richtig verstehe, kann ich damit erreichen, das der Rechner über mehrere IPs erreichbar ist. Aber mit welcher IP meldet er sich dann selbst bei Router. Wie kann ich damit festlegen, das User A sich mit der IP x.y.z.10 bei Router meldet und User B mit x.y.z.11 ?
Danke !

edit: Fullquote entfernt. Mod. /dev/null

 

[TomcatMJ]

Dazu müsstest du für jede IP bei Benutzung das Default-Gateway neu setzen,aber da es nur ein Default-Gateway pro Zeitpunkt in einem System geben darf (sonst gibts Datensalat im internen IP-Datenverkehr des Rechners mit der Folge daß gar nichts im Netzwerk geht von diesem Rechner aus) würden somit schonmal keine 2 User zeitgleich auf dem Rechner eingeloggt sein können.
Um festhalten zu können wer wann wo herumgesurft ist wäre ein Proxy, ggf. mit ntop und einem Radius-Server zur präzisieren Authentifizierung, die bessere weil wenigstens funktionierende Wahl. Allerdings gibtzs da beim Logging auch wieder einige datenschutzrechtliche Vorgaben+Vorschriften zu beachten wenns im geruflichen/gewerblichen Kontext eingesetzt werden soll. Wild drauflos loggen kann da jedenfalls durchaus für etlichen Ärger sorgen.
Die Fritz!-Box kann sowas jedenfalls nicht von Haus aus, eventuell mit Freetz-Firmware,aber vermutlich auch damit nicht, Funkwerk, Bintec und Pyramid bieten da schon eher router an die solche Funktionen durchaus unterstützen könnten wenn man keinen Rechner dafür passend als Router/Proxy/Auth-Server aufsetzen will.

 

[D.o.S.]

Dazu müsstest du für jede IP bei Benutzung das Default-Gateway neu setzen,aber da es nur ein Default-Gateway pro Zeitpunkt in einem System geben darf (sonst gibts Datensalat im internen IP-Datenverkehr des Rechners mit der Folge daß gar nichts im Netzwerk geht von diesem Rechner aus) würden somit schonmal keine 2 User zeitgleich auf dem Rechner eingeloggt sein können. .

Irgenwie verstehe ich das jetzt nicht. Das Default-Gateway ist doch in diesem Fall immer die IP des Routers (also der Fritzbox), oder ?

Und es geht nicht um ein Logging, es geht nur darum über die Profile der Fritzbox den verschiedenen Usern unterschiedlich Zugriffsregeln ins Internet zu geben. Z.B User A ganz offen, User B nur Whitelist, User C komplett gesperrt.. Geht wahrscheinlich auch alles mit Suse-Bordmitteln, aber über die Fritzbox wäre es halt komfortabler einzurichten.

 

[TomcatMJ]

Irgenwie verstehe ich das jetzt nicht. Das Default-Gateway ist doch in diesem Fall immer die IP des Routers (also der Fritzbox), oder ?

Das schon aber über das Setzen des Interfaces für das Default-Gateway beim Definieren eben diese Gateways (siehe "man route" zum Thema setzen des Interfaces) definierst du über welches Interface (reales oder virtuelles) der Datenverkehr abgewickelt wird und auch über welches die Rückantworten kommen. Wenn du das Default-Gateway also immer am selben Interface angebunden hast statt es jedesmal anzupassen wird der gesamte Datenverkehr auch immer über dasselbe Interface laufen->Da ist dann nichts mit "Unterschieden nach IP" weil der Router den Datenverkehr immer von derselben IP bekäme und die Rückantworten zur selben IP liefern würde,daher wären die virtuellen Interfaces dann nur nutzloser Ballast.

Und es geht nicht um ein Logging, es geht nur darum über die Profile der Fritzbox den verschiedenen Usern unterschiedlich Zugriffsregeln ins Internet zu geben. Z.B User A ganz offen, User B nur Whitelist, User C komplett gesperrt.. Geht wahrscheinlich auch alles mit Suse-Bordmitteln, aber über die Fritzbox wäre es halt komfortabler einzurichten.

Das wäre mit einem Proxy zu regeln wenn du nicht den kompletten Datenverkehr des gesamten Netzwerks in der Fritz!-Box auf einen Schlag einschränken willst..ein Proxy kann auch durchaus lokal auf dem Rechner um den es geht laufen wenn du nur einen Rechner mit Zugriffsregeln versehen willst, ab 5 Client-Rechnern würde sich da eher ein kleiner RasberyyPi als Proxy lohnen ab 10-15 Client-Rechnern würde ich über einen etwas liestungsfähigeren Rechner als dedizierten Proxy nachdenken. Squid wäre da eigentlich das Softwareseitige Servermittel der Wahl für.

Edit: Mit einem SOCKS-Server wie Dante ginge es wohl auch,was zwar einfacher einzurichten wäre aber eben nicht mit jedem netznutzenden Programm kompatibel ist...

 

[D.o.S.]

Das wäre mit einem Proxy zu regeln wenn du nicht den kompletten Datenverkehr des gesamten Netzwerks in der Fritz!-Box auf einen Schlag einschränken willst..

Ich glaube wir reden gerade aneinander vorbei - wahrscheinlich habe ich mit unklar ausgedrückt - es geht um die Users eines PCs.
Es ist ein PC auf dem OpenSuse 13.1 läuft. Dort sind für mehrere User Benutzerkonten angelegt. Und abhängig davon wer sich gerade eingeloggt hat, sollen unterschiedlliche Rechte für's Internet gelten.
Daher dachte ich könnte dies über die Profile vom NetworkManager regeln, da man dort den Profilen unterschiedliche Rechte zuweisen kann.

 

[TomcatMJ]

Ok,nun ists klarer...willst du Zielrechner-Zugriffe eingrenzen oder Protokolle/Ports? Generell oder zeitlich feiner granuliert?
Gehts um generelle Zugriffe ohne zeitliche Eingrenzung auf Protokoll/Portebene wäre ein SOCKS-Server wie dante am einfachsten,wenns um zeitliche Begrenzungen und Ausklammerung einzelner (=Blacklisting) oder explitites zulassen einzelner und ansonsten Ausklammerung aller anderen Hosts (=Whitelisting) geht wäre ein umfangreicherer Proxy wie Squid die bessere Wahl.
Prinzipiell kann man beide Server auch zusammen laufen lassen,ebenso wie man sie auch als lokalen Server betreiben kann statt einen dedizierten separaten Rechner dafür zu benötigen.
Allerdings muss man dann auch die passenden iptables Regeln die alles außer den Proxy (der dann nur auf einem definierten Port seinen Datenverkehr haben sollte ) und die zugehörigen von außen kommenden Rückantworten unterbinden reinsetzen.
Notwendig ist sowas aber eben nur dann wenn mehrere Sessions verschiedener User auf ein und demselben Rechner zeitgleich laufen sollen. Wenn das Netz nur einen Rechner als Client hat und nur ein User zur selben Zeit dransitzt bzw. keine weiteren Sessions anderer User im Hintergrund laufen sollen wären die Zugriffseinstellungen der Fritz!-Box mit entsprechend dort anzulegenden Usern meist doch schon ausreichend,dazu bräuchte es dann keine eingrenzenden Dinge im Clientrechner da dies dann die Fritz!-Box übernimmt

 

[/dev/null]

Ja, manchmal ist es gut, wenn man das gewollte Ziel gleich mit in seiner Frage definiert ... .
Die neuesten Versionen der Kindersicherung der Fritz-Box sind ja schon richtig gut gemacht, und erfüllen IMHO auch alle Wünsche eines Vaters/Großvaters (und natürlich auch seiner technisch bewanderten "besseren Hälfte"), der seine Kinder/Enkel etwas aus "Fürsorgegründen" an die digitale Leine legen will. (Wenn ich auch der Auffassung bin, dass menschliche Probleme nicht mit technischen Mitteln gelöst werden können.)

Das "Problem" bei der Kindersicherung ist, dass diese letztendlich an die Mac-Adresse gebunden ist. (Mac-Adresse => daran gebundene IP => daran gebundener festgelegter Gerätename).

[Gedankenspielerei]
Hier sehe ich nur die Möglichkeit, mit der Anmeldung des Users die Mac-Adresse des Netzwerkadapters zu faken.
Suchworte (die ich gerade genutzt habe): "linux mac-adresse faken". Das Problem, welches ich dann wieder sehe ist, dass man dazu root-Rechte benötigt.

Wenn du das Problem gelöst hast, könntest du in der Fritte den x usern = x Mac-Adressen eine jeweils "feste" IP (also mit einer Lease = unendlich) einrichten.

Wenn sich user mit seiner "persönlichen fefaketen" Mac-Adresse anmeldet könnte es sein, dass die Fritte ihm dann die für ihn festgelegte IP (+ Gerätenamen) vergibt und dann die für dieses Gerät festgelegten Regeln der Kindersicherung wirksam werden.
[/Gedankenspielerei]

Selbst wenn das alles funktionieren sollte, so ist das alles eine Frage der Zeit, bis die user (die Kids?) dahinterkommen und dir einen dicken Daumen zeigen. Siehe meine o.g. Meinung dazu.
Eine saubere Lösung ist, wie im Intranet von Firmen üblich, nur durch einen Proxy mit persönlicher Authentisierung der user zu erreichen.


MfG Peter

 

[D.o.S.]

Das "Problem" bei der Kindersicherung ist, dass diese letztendlich an die Mac-Adresse gebunden ist. (Mac-Adresse => daran gebundene IP => daran gebundener festgelegter Gerätename).

Man kann in der FritzBox sogar jeder Kombi MAC+IP ein eigenes Profil zuordnen (es ist in der GUI verworren dargestellt, aber es geht)
Somit könnte man die MAC für alle User auf default lassen und müsste nur jeden User ein eigene IP zuweisen.

Aber ist das möglich, ohne das System durcheinander zu bringen ?

 

[spoensche]

Wenn du uns mal sagen würdest, was du damit bezwecken willst, dann könnten wir dir auch präzisere Informationen, Tipps, Konfigurationshilfe geben bzw. evtl. geeignetere Lösungen empfehlen.

Ohne zu wissen, was du damit bezwecken willst, könnten wir dir bspw. einfach sagen, das du dafür einen Rootserver mieten musst, aber keinen virtuellen, sondern physikalisch, obwohl dies am Ziel vorbei schiesst.

Also Butter bei die Fische. Was willst du damit bezwecken?

 

[marce]

Hat er doch schon:

Der Sinn des Ganzen ist es am Router (FritzBox) unterschiedliche Regeln für den jeweiligen User einstellen zu können. Dieses Separieren auf Router-Seite würden entweder über unterschiedliche IPs (bei gliecher MAC) oder unterschiedlichen MACs funktionieren.
Wäre es besser anstatt der IP für jeden User eine andere MAC einzutragen ?