dynamisches Laden der pf.conf (on demand)

[pertze]

Hallo Freunde,

in unserer Firma haben wir einen QSC DSL Anschluss und mein Chef möchte nun diesen neuen Bandbreitenwechsel nutzen. Man kann also täglich die Bandbreite zwischen 2048/512 kbit/s, 1536/1024 kbit/s und 512/2048 kbit/s umstellen (D/U).

Wir nutzen aber auch ALTQ auf unserem OpenBSD Gateway für die Zuteilung verschiedener Bandbreiten. D.h. ich habe 3 verschiedene pf.conf Dateien, die ich für die 3 D/U-Varianten angepasst habe.

Mein lieber Chef möchte nun on demand auf seiner Windows Kiste ne kleine GUI starten, wo er die 3 möglichen Bandbreiteneinstellungen umswitchen kann und die den OpenBSD Rechner veranlasst die entsprechende pf.conf zu laden.

Ich frage mich nun, wie ich das am besten und vor allem sichersten lösen kann.
Zuerst dachte ich an eine web-basierte Lösung alà PHP, aber ich möchte ungern auf dem Gateway einen Webserver installieren.

Die Basics der wichtigsten Programmiersprachen habe ich intus, nur die Client-Server Programmierung müsste ich etwas vertiefen.

Habt ihr ein paar Anregungen für mich? Bin für jeden Tip dankbar.

Gruß,
pertze

 

[quantumleeks]

Ich frage mich nun, wie ich das am besten und vor allem sichersten lösen kann.
Zuerst dachte ich an eine web-basierte Lösung alà PHP, aber ich möchte ungern auf dem Gateway einen Webserver installieren.

Das verstehe ich nicht. OpenBSD hat den Apache 1.3.x doch ohnehin standardmäßig installiert, und dieser läuft nach dem Start des Dienstes auch noch in einer chroot-Umgebung. Der Webserver würde also kein Sicherheitsrisiko darstellen.

 

[s-tlk]

was ist mit authpf? damit kannst du dynamisch regeln laden. du brauchst nur putty auf dem rechner und wenn dein chef sich unter xy anmeldet dann wird regel sowieso geladen:
http://www.openbsd.org/faq/pf/de/authpf.html

 

[pertze]

Danke erstmal für die Hinweise.

Also ich glaube authpf scheidet aus, da die Änderung global greifen soll und nicht nur für einen speziellen User. Außerdem muss ja ständig eine SSH Session offen sein, ganz zu schweigen davon dass mein Chef kaum zur SSH Konsole greifen wird . Trotzdem danke.

Dass unter OpenBSD der httpd schon drauf ist und auch noch chrooted läuft, war mir gar nicht klar (Schande über mich). Das erspart natürlich eine Menge Arbeit und scheint soweit auch die beste Lösung zu sein, Danke!

Wer trotzdem noch andere Vorschläge hat, kann sie gerne posten

 

[mephisto]

Servus!

Theoretisch könntest Du das ganze auch mit dem "Putty" SSH-Client
realisieren.

Da kann man einstellen, dass ein bestimmter Befehl, wie z.B.

sudo pfctl -f /etc/pf.conf

automatisch nach dem einloggen ausgeführt wird.
Das kann man dann in einer Session speichern und Dein Chef muss nur
noch im Putty-Menü die gewünschte Session auswählen.

Am besten richtest ihm dann noch `nen Benutzer ein, der den pfctl-Befehl
ausführen darf, gibst ihm das Passwort und fertig.

 

[pertze]

Die Idee ist auch nicht dumm
Ist ja wirklich fix umgesetzt.

 

[s-tlk]

Danke erstmal für die Hinweise.

Also ich glaube authpf scheidet aus, da die Änderung global greifen soll und nicht nur für einen speziellen User. Außerdem muss ja ständig eine SSH Session offen sein, ganz zu schweigen davon dass mein Chef kaum zur SSH Konsole greifen wird . Trotzdem danke.

du kannst das ja auch so einstellen das die regeln global sind. das ist als würdest du direkt die regel in die pf.conf schreiben oder als anchor nachladen.
dein chef muß sich ja auch irgendwie an windoof anmelden. dann ist es wirklich nicht zu viel verlangt ein doppelklick auf putty,doppelklick auf den rechner, den user mit der entschrechenden regel reinschreiben und passwort eingeben.
find ich persönlich die coolste lösung.
pfauth rockt!