Помогите, плз. Поставлена задача ограничить вход пользователей паролем. Недавно нашёл Squid-2.5, настроил как написано, запустил. Он работает, но ничего никому не запрещает. Говорят, что при запуске он должен писать что-то о запущеных дочерних процессах. Не пишет. В cache.log есть строка "accepting HTTP connections at 0.0.0.0, port 3128 ..." хотя в squid.conf до всех ограничений поставил Http_access deny all. В чём может быть причина?
так ты к нему коннектишься и он тебе всё разрешает качать?
>так ты к нему коннектишься и он тебе всё разрешает качать?Да. Ну то есть качать я не пробовал, но странички открывает....
>Помогите, плз. Поставлена задача ограничить вход пользователей паролем. Недавно нашёл Squid-2.5, настроил
>как написано, запустил. Он работает, но ничего никому не запрещает. Говорят,
>что при запуске он должен писать что-то о запущеных дочерних процессах.
>Не пишет. В cache.log есть строка "accepting HTTP connections at 0.0.0.0,
>port 3128 ..." хотя в squid.conf до всех ограничений поставил Http_access
>deny all. В чём может быть причина?
Это надо ставить после всех ограничений, т.е.Deny all
Allow all- значит всем все можно
>Это надо ставить после всех ограничений, т.е.
>
>Deny all
>Allow all
>
>- значит всем все можноНа сколько помню после прочтения инструкций - сквид находит первое правило, удовлетворяющее запросу о коннекте и успокаивается. Поэтому в конце и ставят deny all, а до этого условия. Я не так всё понимаю?
>
>>Это надо ставить после всех ограничений, т.е.
>>
>>Deny all
>>Allow all
>>
>>- значит всем все можно
>
>На сколько помню после прочтения инструкций - сквид находит первое правило, удовлетворяющее
>запросу о коннекте и успокаивается. Поэтому в конце и ставят deny
>all, а до этого условия. Я не так всё понимаю?Правильно, слушай, ну честно говоря такой проблемы не встречал тогда
>Правильно, слушай, ну честно говоря такой проблемы не встречал тогда... А сквид должен при запуске что-то писать об этих самых дочерних процессах? Мне б хоть понять что неправильно! Может надо что-то в самом линухе донастроить.... ipchains например... эх... Говорили мне, учи матчасть :)
>>Правильно, слушай, ну честно говоря такой проблемы не встречал тогда
>
>... А сквид должен при запуске что-то писать об этих самых дочерних
>процессах? Мне б хоть понять что неправильно! Может надо что-то в
>самом линухе донастроить.... ipchains например... эх... Говорили мне, учи матчасть :)
>По порядку:
1. Если ты вообще в интернет броузером лезешь, то iptables не запрещает этого (так и должнобыть)
2. Проверяем настройки в броузере, чтобы там прокся указана была, иначе может беспрепятственно через gateway проходить
3. В настройках сквида: ставим конфиг по умолчанию, настраиваем правила, visible_hostname указываем и можем запучкать
squid -D
в принципе все
попробуй сделать так:acl networks src 192.168.0.0/255.255.0.0
http_access allow networks
http_access deny allпосле этого пускать только будет из указанной подсети
посмотри в /var/log/squid/access.log чтобы он именно через сквид объекты получал
все, проверяй, и пиши результат
>По порядку:
>1. Если ты вообще в интернет броузером лезешь, то iptables не запрещает
>этого (так и должнобыть)
>2. Проверяем настройки в броузере, чтобы там прокся указана была, иначе может
>беспрепятственно через gateway проходить
>3. В настройках сквида: ставим конфиг по умолчанию, настраиваем правила, visible_hostname указываем
>и можем запучкать
>squid -D
>в принципе все
>попробуй сделать так:
>
>acl networks src 192.168.0.0/255.255.0.0
>http_access allow networks
>http_access deny all
>
>после этого пускать только будет из указанной подсети
>
>посмотри в /var/log/squid/access.log чтобы он именно через сквид объекты получал
>
>все, проверяй, и пиши результатБОЛЬШОЕ спасибо!!! Я наконец-то получил надпись Access Denied (Squid-2.5...) Она меня безмерно порадовала, но фишка была не в том. Мне как раз нужно чтоб при ЛЮБЫХ настройках клиентской машины он проходил через сквид. Юзера, они ж таки ... на них нельзя положится - чё-нить изменят и будут безпрепядственно входить в казёный интернет :) Нельзя ли что-нить настроить так, чтоб им жизнь раем не казалась?
>>По порядку:
>>1. Если ты вообще в интернет броузером лезешь, то iptables не запрещает
>>этого (так и должнобыть)
>>2. Проверяем настройки в броузере, чтобы там прокся указана была, иначе может
>>беспрепятственно через gateway проходить
>>3. В настройках сквида: ставим конфиг по умолчанию, настраиваем правила, visible_hostname указываем
>>и можем запучкать
>>squid -D
>>в принципе все
>>попробуй сделать так:
>>
>>acl networks src 192.168.0.0/255.255.0.0
>>http_access allow networks
>>http_access deny all
>>
>>после этого пускать только будет из указанной подсети
>>
>>посмотри в /var/log/squid/access.log чтобы он именно через сквид объекты получал
>>
>>все, проверяй, и пиши результат
>
>БОЛЬШОЕ спасибо!!! Я наконец-то получил надпись Access Denied (Squid-2.5...) Она меня безмерно
>порадовала, но фишка была не в том. Мне как раз нужно
>чтоб при ЛЮБЫХ настройках клиентской машины он проходил через сквид. Юзера,
>они ж таки ... на них нельзя положится - чё-нить изменят
>и будут безпрепядственно входить в казёный интернет :) Нельзя ли что-нить
>настроить так, чтоб им жизнь раем не казалась?
Все очень просто`iptables -A INPUT -s $IP -m mac --mac-source $MAC -p TCP --dport 3128 -j ACCEPT`;
получишь на уровне iptables контроль по IP+MAC
В принципе юзеры обычно не настолько способные люди чтоб MAC менятьможешь еще и привязать MAC к IP, но это от юзверей зависит
>Все очень просто
>
>`iptables -A INPUT -s $IP -m mac --mac-source $MAC -p TCP --dport
>3128 -j ACCEPT`;
>
>получишь на уровне iptables контроль по IP+MAC
>В принципе юзеры обычно не настолько способные люди чтоб MAC менять
>
>можешь еще и привязать MAC к IP, но это от юзверей
>зависит
Хм... Я не очень в этом силён (надеюсь что пока), но как я понимаю iptables это типа файервол. А у меня ipchains и на Iptables грит Command not found. Как бы с ipchains такое сделать? Есть там REDIRECT, но он только для прозрачных прокси, а прозрачные прокси со Squid не поддерживают аутентфикацию по имени:паролю... Где меня кидают?
>>Все очень просто
>>
>>`iptables -A INPUT -s $IP -m mac --mac-source $MAC -p TCP --dport
>>3128 -j ACCEPT`;
>>
>>получишь на уровне iptables контроль по IP+MAC
>>В принципе юзеры обычно не настолько способные люди чтоб MAC менять
>>
>>можешь еще и привязать MAC к IP, но это от юзверей
>>зависит
>
>
>Хм... Я не очень в этом силён (надеюсь что пока), но как
>я понимаю iptables это типа файервол. А у меня ipchains и
>на Iptables грит Command not found. Как бы с ipchains такое
>сделать? Есть там REDIRECT, но он только для прозрачных прокси, а
>прозрачные прокси со Squid не поддерживают аутентфикацию по имени:паролю... Где меня
>кидают?
Там все примерно также
man ipchainsДык если у тя аутентификация, нафига вообще было с этим заморачиваться?
>Дык если у тя аутентификация, нафига вообще было с этим заморачиваться?Последний вопрос я не очень понял... Мне надо шоб юзера со своих машин входили со своими паролями независимо от настроек на этих машинах...