|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Grigory Mikhailik 2:5020/400 14 Jun 2004 15:38:39
To : Sergey A. Yakovets
Subject : Re: Squid auth
--------------------------------------------------------------------------------
"Sergey A. Yakovets" <Sergey.A.Yakovets@f50.n5088.z2.fidonet.org>
сообщил/сообщила в новостях следующее: news:1086757771@f50.n5088.z2.ftn...
> Как поживаете, All ?
>
> Подскажите в какую сторону смотреть.
>
> Есть сетка 10 машин (не масштабно, но все же). Юзеры сидят в инете
целыми
> днями (www, pop3, smtp, icq). Hастроил таки прозрачный прокси. К сетке
> подключены левые юзеры (из соседней конторы), которым в принципе от нас до
поры
> до времени нужен был только сетевой принтер, который наша контора для них
> любезно предоставила для нечастого пользования. Заметил по логам, что
народ не
> только принтером балуется, но и в инет ходит.
>
> Хочется спать спокойно. Всвязи с чем вопрос: как будет лучше
ограничить
> доступ к ресурсам интернета? Хотелось бы чтобы у моих юзеров никаких
паролей
> при попытке выйти в инет не запрашивало, а у левых просто не было бы
доступа. У
> моих юзеров стоит везде Win2000, адреса розданы вручную (но теоретически,
есть
> один неглупый юзер, помогающий мне в аварийных ситуациях оперативным
решением
> проблем, чтобы мне лишний раз не приезжать, который знает пароль
локального
> администратора и который адрес может сменить при желании). Юзеры логинятся
в
> Вин2000 под своими локальными учетками. Домена нет.
>
> Склоняюсь к фильтрации доступа по адресам с использованием ipfw и acl
в
> сквиде. Плюс - мероприятия по предотвращению изменения адресов, согласно
> многочисленным ФАКам.
>
> До установки сквида в ipfw.rules было прописано примерно следующее:
>
> ${fwcmd} add divert natd log all from 192.168.0.100 to any via
${natdinterface}
> ${fwcmd} add divert natd log all from 192.168.0.101 to any via
${natdinterface}
> [...skipped...]
> ${fwcmd} add divert natd log all from 192.168.0.110 to any via
${natdinterface}
> ${fwcmd} add divert natd log all from any to me via ${natdinterface}
>
> Что позволяло пустить через HАТ только 192.168.0.100-110
>
> Добавяю:
> ${fwcmd} add fwd 192.168.1.100,8080 log tcp from 192.168.0.0/24 to any 80
>
> http-запросы юзеров начинают без их ведома переправляться на прокси. Тут
еще
> один вопрос: насколько я понимаю, dns, ftp, pop3, smtp и прочие отличные
от 80
> орта запросы идут через HАТ? Т.е. полностью отказаться от использования
natd
> нельзя?
>
> В squid.conf прописываю
> acl our_network src 192.168.0.100-192.168.0.110/32
> http_access allow our_network
> http_access deny all
>
> Сквид ругается на access denied. Может я как-то неправильно диапазон
> указываю?
>
> И вообще, скажите: я в правильном направлении думаю или есть какая-то
> принципиальная ошибка? Может другой простой вариант есть?
>
> Заранее спасибо за ответы.
>
> C уважением, Sergey A. Yakovets.
> E-mail: for-transit@yandex.ru ICQ UIN: 165641526
>
> ... FaqServer 2:5088/50.50 Subj: %HELP %LIST
Hастрой авторизацию хождения в интернет на сквиде через имя пользователя и
пароль. При этом можешь еще в acl поставить диапазон IP. + еще можешь
привязать арпы к IP на серваке.
И пусть рвутся сколько хотят.
Без IP и арпы к нему, и знания login и пасворда ничего не выйдет.
P.S. Только убери натилку на внутр. адреса.
--- ifmail v.2.15dev5.3
* Origin: Navigator Online Internet News Server (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
