права доступа на сеть/интерфейс

Как-то через iptables метить пакеты по uid/gid - и затем делать для них с tc отдельные правила роутинга.

>

Может просто убрать запуск у остальных юзеров? То есть, чтобы подключение запускалось при логине у нужных пользователей.

Насколько я понял - это единственное идеологически правильное, но самое сложное решение.

Из беглого чтения манов iptables понятно: можно дропать пакеты от определённого юзера, но как строить маршруты в зависимости от UID - пока даже идеи нет :(

Непонятно главное: если одновременно залогинены оба - какая таблица маршрутизации будет работать? Разве их может быть две одновременно?

А он как служба стартует еще до логина.

И, далее, что получится, если залогинен "привелигированный" пользователь, для которого нужен туннель и временно зашёл гость (без выхода предыдущего пользователя). У гостя туннель будет доступен в таком случае?

Или может еще какие варианты есть?

Задачу можно сформулировать еще проще - не пускать в туннель гостей (т.е фактически чтобы они случайно туда не попали). Гости не продвинутые, они максимум потыкают видимые иконки, но глубко никто не полезет (т.е шибко шифроваться смысла нет)

Ну так измените тип запуска :) или правила маршрутизации меняйте при логине нужных пользователей.

У Вас пользователи в систему локально заходят?

Тип запуска менять идеологически неправильно, имхо.

Если с локальными пользователями еще можно как-то разрулить (не без шансов сломать мозг), то как быть с системными? Хотелось бы весь системный фоновой трафик (ntp, обновления и пр.) тоже через туннель гнать...

Да, только локально. Вход по сети перекрыт напрочь.

Тут сейчас пошаманил с iptables, правило

-A OUTPUT -m owner --uid-owner user -j DROP

даёт результат: перекрывает кислород пользователю user напрочь. Добавить туда адрес vpn-сервера тоже не вопрос, ес-но.

Вот теперь думаю, как будет вести себя система в этом случае... Тут надо глубоко понять идеологию, а с этим тяжко :(

Если я перекрою юзеру доступ к туннелю - установит ли она для него свои маршруты, как были до поднятия туннеля? При том, что в это же время всем остальным пользователям (в т.ч системным) будут доступны туннель и, соответстственно, default gateway совсем другой.

Разве могут существовать две соверешенно разные таблицы маршрутизации одновременно?

Сделайте алиас для сетевого интерфейса и направляйте через него не доверенных пользователей.

🙅

За "левый" айпишник в сети могут вздрючить

Отвечая на вопрос относительно нескольких таблиц — это возможно. Список таблиц указывается в файле /etc/iproute2/rt_tables, но это не особо важно.

Вы можете настроить iptables таким образом, чтобы до интерфейса доходили пакеты только определенных пользователей. Что-то вроде

iptables -A OUTPUT  -i ppp0 -p tcp -m owner --uid-owner supauser -j ACCEPT

Точно ведь, чего я парюсь...

Пусть туннель будет поднят постоянно, просто гостям к нему доступ запрещу iptables.

Тем более, что они должны ходить в инет через корпоративную проксю, которую я им в браузере и пропишу заранее. Если и уберут прокси - то вообще ничего не будет работать, как и в штатной винде.

До кучи пойду погуглю, как защитить настройки браузеров от изменения... Хотя, наверное, в линуксах достаточно на их конфиги права 400 поставить...

iptables -A OUTPUT  -i ppp0 -p tcp -m owner --uid-owner supauser -j ACCEPT

Нет. Даже близко не "вроде". Нужно, чтобы пакеты не просто "доходили" - а доходили именно туда, куда нужно. Для этого правилами iptables не обойтись: нужно на основе маркировки пакетов в подобных правилах - менять роутинг. Примерно как опиали выше #2.

Если это вариант - то, конечно. Выражайтесь яснее в следующий раз. Чтобы люди не думали, что вам каждому пользователю требуется организовать полноценное соединение с интернет.