Forum Linux.général mise en place de terminaux diskless

Posté par  .
Étiquettes : aucune
0
22
fév.
2005
Bonjour,
Je viens de mettre en place des terminaux X diskless. Le systeme de base est monté par NFS ...
Ca fonctionne super bien, chaque client se retrouve avec une IP en DHCP ....
L'interface graphique est lancé via X -query IP.
Jusque la OK :-)
Par contre je desire mettre en place du masquerade via iptables sur le serveur pour accpeter ou non la mise en réseau des clients. Ce qui cloche, car y'a toujours un truc qui cloche, c'est qu'a partir du moment ou l'on lance le X sur le serveur et bien quand on navigue des clients c'est comme si on naviguait du serveur.. et j'ai beau refuser l'acces a 10.0.0.10 (un client) et bien du client ca marche toujours.
Comment peut-on faire ?

Merci pour votre aide
  • # Vhost me parait s imposer de lui meme :)

    Posté par  (site web personnel) . Évalué à 1.

    Le server graphique est bien local a la machine: X est execute sur la machine locale. MAIS ... il y as toujours un mais ... a partir du moment ou tu fait un X -query ... l affichage se fait sur le terminal, mais toute la cession est en fait executee sur le server: les utilisateurs accedent a leurs comptes sur le server: les terminaux n ont psa besoin de connaitre quoi que ce soit sur l utilisateur logue: c est le server qui gere tout.

    Et en l occurence, c est le server sur lequel tu fais le query qui execute tous les process affiches sur le terminal.

    L ecran est devant l utilisateur, mais le process est execute sur le server.

    quand on navigue des clients c'est comme si on naviguait du serveur

    si tu as compris ce que je viens de dire, tu comprendra que cette citation est fausse: ce n est pas comme si ... le processus du navigateur est executé sur le server !!! et si ca te plais pas, c est pareil.

    Si tu veut vraiment que les clients n aient pas acces a ca, alors tu devra mettre dispo sur le server NFS tous les executables des applications auquelles les users ont droit, et ne plus utiliser -query.

    Alternative: installer sur le server un 'vhost' ... tu pourra faire tourner le server X dedans, mais tu pourra lui attribuer une IP different ... de sorte que le filtrage IP deviendra trivial ... si tu as 2j a perdre pour comprendre comment ca marche, je pense que c est la meilleur solution.

    Vhost est moins lourd et plus secure que chroot, et permet 1000 fois plus de choses. Dont ce dont tu as besoin.

    Perso, j ai commence a l installer, mais ce n est pas un package ordinaire ... et je n ai pas pris le temps d aller au bout. Pour info, Ikoula utilise des vhost pour sous louer de la bande passante, du temps processeur, ou de la memoire ( RAM+HDD) pour divers services ... c est vraiment un truc tres puissant, et je pense sincerement que tu peux y arriver.
    • [^] # -m owner

      Posté par  . Évalué à 1.

      Oui... enfin, c'est un peu lourd je trouve.

      Si redlums35 n'est pas obligé de filter selon l'IP, je lui suggère de filtrer selon l'utilisateur loggué :)
      Avec un petit "-m owner --uid-owner ..." ca devrait le faire (voir iptables(8)).
      • [^] # Re: -m owner

        Posté par  (site web personnel) . Évalué à 1.

        je ne critique pas ton idee de -m owner, mais c'est un peu lourd ne peut pas passer. Vhost ne provoque AUCUN overload du server. C est visiblement assez long a configurer ( je n ai pas reussi en 12h), mais une fois en place, ca ne consomme aucune ressource. Et mieux: ca va renforcer la securite du server, voir permettre de limiter par exemple la consommation CPU du navigateur ( combien de fois j ai vu FF a 99% ) ...

        Il faudrait que tu definisse le mot lourd. Cote conf je suis OK c est relou. Cote utilisation: c est transparent pour l utilisateur.
        • [^] # Re: -m owner

          Posté par  . Évalué à 1.

          Il faudrait que tu definisses le mot lourd. Cote conf je suis OK c est relou.


          Il n'y a pas de souci : c'est effectivement le côté conf que je trouve lourd.
          Excuse-moi de ne pas avoir précisé dans mon premier post.

          Sinon, Je suis d'accord avec toi concernant Vhost.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.