|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Sergey A. Yakovets 2:5088/50 09 Jun 2004 11:45:59
To : All
Subject : Squid auth
--------------------------------------------------------------------------------
Подскажите в какую сторону смотреть.
Есть сетка 10 машин (не масштабно, но все же). Юзеры сидят в инете целыми
днями (www, pop3, smtp, icq). Hастроил таки прозрачный прокси. К сетке
подключены левые юзеры (из соседней конторы), которым в принципе от нас до поры
до времени нужен был только сетевой принтер, который наша контора для них
любезно предоставила для нечастого пользования. Заметил по логам, что народ не
только принтером балуется, но и в инет ходит.
Хочется спать спокойно. Всвязи с чем вопрос: как будет лучше ограничить
доступ к ресурсам интернета? Хотелось бы чтобы у моих юзеров никаких паролей при
попытке выйти в инет не запрашивало, а у левых просто не было бы доступа. У моих
юзеров стоит везде Win2000, адреса розданы вручную (но теоретически, есть один
неглупый юзер, помогающий мне в аварийных ситуациях оперативным решением
проблем, чтобы мне лишний раз не приезжать, который знает пароль локального
администратора и который адрес может сменить при желании). Юзеры логинятся в
Вин2000 под своими локальными учетками. Домена нет.
Склоняюсь к фильтрации доступа по адресам с использованием ipfw и acl в
сквиде. Плюс - мероприятия по предотвращению изменения адресов, согласно
многочисленным ФАКам.
До установки сквида в ipfw.rules было прописано примерно следующее:
${fwcmd} add divert natd log all from 192.168.0.100 to any via ${natdinterface}
${fwcmd} add divert natd log all from 192.168.0.101 to any via ${natdinterface}
[...skipped...]
${fwcmd} add divert natd log all from 192.168.0.110 to any via ${natdinterface}
${fwcmd} add divert natd log all from any to me via ${natdinterface}
Что позволяло пустить через HАТ только 192.168.0.100-110
Добавяю:
${fwcmd} add fwd 192.168.1.100,8080 log tcp from 192.168.0.0/24 to any 80
http-запросы юзеров начинают без их ведома переправляться на прокси. Тут еще
один вопрос: насколько я понимаю, dns, ftp, pop3, smtp и прочие отличные от 80
орта запросы идут через HАТ? Т.е. полностью отказаться от использования natd
нельзя?
В squid.conf прописываю
acl our_network src 192.168.0.100-192.168.0.110/32
http_access allow our_network
http_access deny all
Сквид ругается на access denied. Может я как-то неправильно диапазон
указываю?
И вообще, скажите: я в правильном направлении думаю или есть какая-то
принципиальная ошибка? Может другой простой вариант есть?
Заранее спасибо за ответы.
C уважением, Sergey A. Yakovets.
E-mail: for-transit@yandex.ru ICQ UIN: 165641526
... FaqServer 2:5088/50.50 Subj: %HELP %LIST
---
* Origin: "Емельянов" - это не фамилия, а диагноз... (2:5088/50)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
