Народ, помогите!
Есть squid, есть список сайтов для ограниченного круга пользователей.
Как сделать так, что бы пользователи ходили через прокси не заморачиваясь на паролях, но если попытались бы открыть сайт из "чёрного" списка, то squid запрашивал бы логин и пароль и только после этого пускал (или не пускал) бы пользователя на этот сайт?

• SQUID и аутентификация для определённых сайтов,jonatan, 15:38 , 06-Окт-05
• SQUID и аутентификация для определённых сайтов,ALex_hha, 16:52 , 06-Окт-05
  • SQUID и аутентификация для определённых сайтов,harlan, 07:55 , 07-Окт-05
    • SQUID и аутентификация для определённых сайтов,ALex_hha, 10:12 , 07-Окт-05
      • SQUID и аутентификация для определённых сайтов,jonatan, 10:53 , 07-Окт-05
        • SQUID и аутентификация для определённых сайтов,dravor, 11:40 , 07-Окт-05
          • SQUID и аутентификация для определённых сайтов,ALex_hha, 12:13 , 07-Окт-05
            • SQUID и аутентификация для определённых сайтов,jonatan, 12:16 , 07-Окт-05
              • SQUID и аутентификация для определённых сайтов,Mrachik, 22:43 , 16-Окт-05
                • SQUID и аутентификация для определённых сайтов,dravor, 10:21 , 17-Окт-05
            • SQUID и аутентификация для определённых сайтов,dravor, 12:16 , 07-Окт-05
              • SQUID и аутентификация для определённых сайтов,ALex_hha, 12:19 , 07-Окт-05
                • SQUID и аутентификация для определённых сайтов,dravor, 12:51 , 07-Окт-05
                  • SQUID и аутентификация для определённых сайтов,ALex_hha, 21:22 , 16-Окт-05
                    • SQUID и аутентификация для определённых сайтов,dravor, 10:18 , 17-Окт-05

auth_param ...

acl password proxy_auth REQUIRED
acl local_net src 192.168.1.0/24
acl black_sites dstdomain .domain.ru

http_access allow local_net black_sites password
http_access allow local_net
http_access deny all

Нахрена такой гемор? Я так понял ты хочешь, чтобы админы, например, могли порево смотреть, а остальные нет. Лучше поставь squidGuard, создай несколько групп - user, admin, superadmin и дай им необходимые права.

Лично мне бы надоело каждый раз вводить пароль.

У меня лежит презанятнейший документик от организации, противиться которой - себе дороже. Там есть определённый перечень сайтов, статистику по которым необходимо собирать: "кто-куда-когда". Часть СОРМа, только касающаяся этих сайтов.
А разрешить смотреть порево только админам можно и более простым способом.

В любом случае - спасибо за подсказку.

Ну я же говорю, разреши так:

группе user - сайт1, сайт2, сайт3 и т.д.
группе admin - сайт3, сайт4, сайт5 и т.д.
группе superadmin - все

Список сайтов можно хранить просто в текстовом файле, а можно в BerkeleyDB, как сделано в squidGuard.

Просто идея с паролями мне кажется не очень. Но это уже тебе решать

Если у клиентов динамические адреса, то такой вариант не пойдет.

>Если у клиентов динамические адреса, то такой вариант не пойдет.
Такой вариант не пройдет даже если клиенты не полные идиоты.

>>Если у клиентов динамические адреса, то такой вариант не пойдет.
пройдет. На DHCP сделать привязку ip к mac адресу. В squid кажется тоже можно такое делать.

> Такой вариант не пройдет даже если клиенты не полные идиоты.
интересно и что они смогут сделать?

>>>Если у клиентов динамические адреса, то такой вариант не пойдет.
>пройдет. На DHCP сделать привязку ip к mac адресу. В squid кажется
>тоже можно такое делать.
Если Вы доверяете такой схеме - пожалуйста. Я уже давно от этого отказался.

>>>>Если у клиентов динамические адреса, то такой вариант не пойдет.
>>пройдет. На DHCP сделать привязку ip к mac адресу. В squid кажется
>>тоже можно такое делать.
>Если Вы доверяете такой схеме - пожалуйста. Я уже давно от этого
>отказался.

Так поделитесь опытом!
Я видел разные схемы. Самая реальная (ИМХО) - на свитче маки привязываются к портам, а на серваке разруливается arp'ом, просто и сердито.

Это самая простая, но и самая дорогая. Гораздо эффективней и в плане денег, и в плане администрирования сети использовать VPN. О чем вы и сами могли бы сказать, если бы полистали немного тематические форумы. Можно и другие способы авторизации. Но сама авторизации должна идентифицировать личность, а не IP-адресс.

>>>Если у клиентов динамические адреса, то такой вариант не пойдет.
>пройдет. На DHCP сделать привязку ip к mac адресу. В squid кажется
>тоже можно такое делать.
>
>> Такой вариант не пройдет даже если клиенты не полные идиоты.
>интересно и что они смогут сделать?
То же что и вы на их месте: сменить ip, а если не сработает, то ip+mac соседа.

> То же что и вы на их месте: сменить ip, а
>если не сработает, то ip+mac соседа.
Стоп а кто им позволит поменять ip и mac? Я так понял это в локальной сети. А там и по рукам можно дать

>> То же что и вы на их месте: сменить ip, а
>>если не сработает, то ip+mac соседа.
>Стоп а кто им позволит поменять ip и mac? Я так понял
>это в локальной сети. А там и по рукам можно дать
>
Чтоб по рукам дать, нужна сначала сам факт подмены зарегистрировать. А как вы это собрались делать? Узнавать плохие новости от начальства? Видимо вы свою репутацию совсем не цените. Ничего личного.

Ну как они во время работы поменяют ip и mac? Сразу же возникнет конфликт ip адрессов. И если пользователи не взговоре, то вы об этом сразу узнаете.

>Ну как они во время работы поменяют ip и mac? Сразу же
>возникнет конфликт ip адрессов. И если пользователи не взговоре, то вы
>об этом сразу узнаете.
Вы определитесь очем мы говорим: защита "от дурака" для пользователей, которые никогда и не будут пытаться воровать трафик или же о системе, которая позволяет сказать "да, теперь украсть чужой траф. действительно сложно".