hi all
transparent proxy пашет, ncsa пашет ,но все по раздельности ! Как решить проблему совместной работы ? Зверей надо принудительно гонять через proxy, но и авторизовывать их тоже обязательно. Прописать на каждой машине proxy:port так ведь либо сменят либо просто отключат чего делать ! Были сказаны слова что это в принципе не возможно, правда ли это ? Может другой метод аутентификации применять?
>transparent proxy пашет, ncsa пашет ,но все по раздельности ! Как решить
>проблему совместной работы ?
уж чуть не на каждом заборе пишут, что сквид не может эти две вещи совмещать...
http://www.squid-cache.org/Doc/FAQ/FAQ-17.html#ss17.15>Зверей надо принудительно гонять через proxy, но
>и авторизовывать их тоже обязательно. Прописать на каждой машине proxy:port так
>ведь либо сменят либо просто отключат чего делать !
ну так и останутся без интернета! им же хуже...
>ну так и останутся без интернета! им же хуже...
Эти гады полезут через nat , а отрубать его нельзя :(
А каким нибудь хитрым редиректом:
типа 2 squida 1й транспарит и редиректит на
squid 2 который и определяет ... или первый squid все убет ?
>Эти гады полезут через nat , а отрубать его нельзя :(
Если ты закроешь пересылку запросов на 80, 443 и проч. порты, то каким образом они попадут в инет????
Не мучай свою голову и не мучь других. Закрыл форвард кроме почтовых портов и пей пиво. Кто попробует обойти прокси - тот сам себе злой Буратино. Поставь логирование на таой случай. Увидешь нарушителя - подойди и дай ему по башке сам, чтобы в следующий раз не повадно было.>А каким нибудь хитрым редиректом:
> типа 2 squida 1й транспарит и редиректит на
>squid 2 который и определяет ... или первый squid все убет ?Ты только представь, сколько ресурсов сожрут 2 прокси на тачке..:)))
>Закрыл форвард кроме почтовых портов и пей пиво.
вот именно! :)>Поставь логирование на таой случай. Увидешь нарушителя -
>подойди и дай ему по башке сам, чтобы в следующий раз
>не повадно было.
не надо так категорично :) существует еще куча всякого софта, который без ведома пользователя в инет лезет... всякие вирусы, десктопные украшалки и т.п.>>А каким нибудь хитрым редиректом:
>> типа 2 squida 1й транспарит и редиректит на
>>squid 2 который и определяет ... или первый squid все убет ?
>
>Ты только представь, сколько ресурсов сожрут 2 прокси на тачке..:)))
во-первых, не намного больше, чем один при грамотной настройке...
во-вторых, имхо, это не пройдет...
Нет ребяты , пулемет вам даваь нельзя :) Проблема как раз в том, что Nat должен пахать нормально, и только при смерти squid должен АВТОМАТИЧЕСКИ начать работать.Т.е. закрыть его нельзя. 2 squida на 2.2 ГГц + 512рам вообще не заметно , всего-то 30 чел лезут , да и не всегда единовременно. Вопрос ,модет быть стороний метод auth или внешняя програмулина может решить проблему совместной работы или нет ?
зы.
Тунелирование никто пока не отменял поэтому закрыть 80, 443 это не выход...
>Нет ребяты , пулемет вам даваь нельзя :) Проблема как раз в
>том, что Nat должен пахать нормально, и только при смерти squid
>должен АВТОМАТИЧЕСКИ начать работать.
ну так и делай автоматическое начало работы, а не постоянное! кто тебе не дает?>Тунелирование никто пока не отменял поэтому закрыть 80, 443 это не выход...
туннелирование через http? так тебя от этого ни НАТ, ни сквид не спасут, так что тут сквид не лучше НАТА...
а бывает еще туннелирование через другие протоколы и порты...имхо, если уж пользователи такие трудновоспитуемые и достаточно грамотные, чтобы туннели поднимать, то поможет только VPN и прописывание правил доступа для каждого индивидуально по мере потребностей и доверия к пользователю...
>ну так и делай автоматическое начало работы, а не постоянное! кто тебе
>не дает?михаил , вот в этом и вопрос как сделать ?
Была идея проверять наличие squid в процессах типа Ps -aux | grep squid и
в случае отсутствия за пускать nat + ipfw + rules
Но с какой переодичностью, и это все проверять и .т.д Может есть более гуманное решение [WCCP+cisco предлагать не надо :)]>>Тунелирование никто пока не отменял поэтому закрыть 80, 443 это не выход...
>туннелирование через http? так тебя от этого ни НАТ, ни сквид не
>спасут, так что тут сквид не лучше НАТА...
>а бывает еще туннелирование через другие протоколы и порты...
согласен МИШ , я об этом и сказал сразу :(
>михаил , вот в этом и вопрос как сделать ?
>Была идея проверять наличие squid в процессах типа Ps -aux | grep
>squid и
>в случае отсутствия за пускать nat + ipfw + rules
>Но с какой переодичностью, и это все проверять и .т.д Может есть
>более гуманное решение [WCCP+cisco предлагать не надо :)]
1) проверять наличие файла squid.pid (это просто, но не надежно, так как этот файл может остаться после краха сквида)
2) пробовать выполнить простенький запрос, например, скачать wget-ом маленький файл, желательно с сервера во внутренней локалкепроверять можно хоть раз в минуту, это не даст серьезной нагрузки...
лучше исключать период ночных серьезных загрузок, если они есть...но, имхо, лучше не поднимать НАТ, а поднимать заново сквид!
так не придется при таком переходе ничего менять у пользователей в настройках, да и сквид не так уж часто падает... собственно говоря, у меня такого не было ни разу за 8 месяцев его работы...
а через НАТ выпускать только отдельные необходимые сервисы, типа почту и т.п.>>>Тунелирование никто пока не отменял поэтому закрыть 80, 443 это не выход...
>>туннелирование через http? так тебя от этого ни НАТ, ни сквид не
>>спасут, так что тут сквид не лучше НАТА...
>>а бывает еще туннелирование через другие протоколы и порты...
>согласен МИШ , я об этом и сказал сразу :(
туннелирование это отдельная проблема, уже не раз обсуждалась на этом форуме, но никаких серьезных мер по предотвращению этого я так и не увидел...
вообще путей припоминаю несколько:
1) ограничение по соединению с отдельными хостами (делается несложно, но следить надо постоянно, так как юзеры будут регулярно находить новые сервера для туннелирования).
2) ограничить в сквиде объем передаваемых запросов и зарезать скорость, так чтобы накладные расходы туннелирования через http мешали комфортно работать, а прямой (читай - подконтрольный) серфинг проходил нормально.
3) ограничить объем скачивания информации на каждого пользователя, причем квоту установить достаточно небольшую, чтобы напрочь отбить желание делиться паролями с коллегами.
> пробовать выполнить простенький запрос, например, скачать wget-ом ...
это лучше чем первоеПо поводу туннелирования:
У умных дядей писалось типа можно firwallow смотреть и отсекать !
Но на это у меня уже сил нет , Работа должна оплачиваться соизмеримо, а писать собственную систему обнаружения -- это уж слишком
>hi all
>transparent proxy пашет, ncsa пашет ,но все по раздельности ! Как решить
>проблему совместной работы ? Зверей надо принудительно гонять через proxy, но
>и авторизовывать их тоже обязательно. Прописать на каждой машине proxy:port так
>ведь либо сменят либо просто отключат чего делать ! Были сказаны
>слова что это в принципе не возможно, правда ли это ?
>Может другой метод аутентификации применять?Michael тебе правильно всё сказал ! или прозрачный прокси или аутентификация, что тебе лучше - решай сам . Если все таки нужно последнее - придется ножками сходит к каждой тачке и прописать прокси.
здрасте 2vl ;), со мной ваще беда, блин...
при пересобирании сквида с опцией --enable-auth="ncsa", конфигурица нормально... делаю make clean - ошибка "can't cd to NCSA ***error code 1"; ну там или сразу make all делаю - таже фигня
не пойму что делаю не так %)
зы
из черного списка адрес ликвидировали (кажись), можно стучаться :)))
./configure --enable-basic-auth-helpers="NCSA"
бинарник лежит не в ....../bin а в ...../libexec
из apacha тыриш htpasswd и создаеш им файл паролей.
усе (ну в squid.conf прописать надо еще немного)
>./configure --enable-basic-auth-helpers="NCSA"
>бинарник лежит не в ....../bin а в ...../libexec
а я, помнится, ncsa отдельно компилил... хотя и при компиляции сквида специальную опцию тоже давал...
>а я, помнится, ncsa отдельно компилил... хотя и при компиляции сквида специальную опцию тоже давал...угу можно но не нужно :))
>>а я, помнится, ncsa отдельно компилил... хотя и при компиляции сквида специальную опцию тоже давал...
>
>угу можно но не нужно :))
Привет, Народ !!!
Тут недавно перешел на сквид, но не могу скомпилить никак ncsa, домена у меня нет, поэтому это единственный способ сделать аутентификацию юзверей в канторе... С плеча не рубите, я еще только учусь....
При Make, он мне говорит - "No target to make" и ничего я с этим поделать не могу... Может я что-то пропустил или неправильно делаю.... Подскажите, плиззз !!! Заранее благодарен !!!