<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:times new roman, new york, times, serif;font-size:12pt"><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;">I thought that the user system only talked to the firewall/nas and that it talked to the RADIUS server?<br><br>I mean, I thought that using IPTables on the RADIUS server would not work because only the firewalls ever communicated with it directly - am I worng about this?<br><br><br><br><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;">----- Original Message ----<br>From: Jan Mulders <lastchancehotel@gmail.com><br>To: FreeRadius users mailing list <freeradius-users@lists.freeradius.org><br>Sent: Thursday, December 21, 2006 11:46:44 AM<br>Subject: Re: Questions from a totally ignorant n00b<br><br>Freeradius can do this, I believe (please correct me if I'm wrong, List).<br><br>However, you might
 want to consider firewalling those certain addresses on your radius server so authentication/accounting packets never reach your existing radius server daemon. Look into iptables, it should be fairly easy to do. It'd also save what is probably an unnecassary change of software for your purposes!
<br><br>Hope this helps,<br><br>Jan<br><br><div><span class="gmail_quote">On 21/12/06, <b class="gmail_sendername">Gene Mosley</b> <<a rel="nofollow" target="_blank" href="mailto:freeradius@mosleyfamily.org">freeradius@mosleyfamily.org</a>> wrote:
</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div><div style="font-family: times new roman,new york,times,serif; font-size: 12pt;">
<div>I am currently running RADIUS under AIX (the AIX version of RADIUS) and having a problem.<br><br>It appears that the AIX RADIUS cannot be configured to work around this problem.<br><br>I was wondering if switching to FreeRADIUS would help?
<br><br><br><br>The problem is this:<br><br>Users are authenticating from systems that they should not be authenticating from - we need to block authentication on a per system (IP address) basis, not a per user basis.<br>
<br>Users should be allowed to authenticate from any system that they are using _except_ a certain, specific list of IP addresses which would basically be banned/blocked from authenticating.<br><br>Is this something that FreeRADIUS can do?
<br><br><br>I just started reading about it - and if nothing else it looks like exec-program-wait might be used to test
 the IP address and return an authentication failure?<br><br><br><br><br><br></div></div></div>
<br>-<br>List info/subscribe/unsubscribe? See <a rel="nofollow" target="_blank" href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a><br><br>
</blockquote></div><br>
<div>- <br>List info/subscribe/unsubscribe? See <a target="_blank" href="http://www.freeradius.org/list/users.html">http://www.freeradius.org/list/users.html</a></div></div><br></div></div></body></html>