URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4332
[ Назад ]

Исходное сообщение
"Помогите !!! AD+Samba3+Squid !!!"

Отправлено LZevs , 14-Сен-06 12:20 
Надо организовать пропуск юзеров через Sqiud ... при этом надо чтоб прокси пропускал IP юзера к прову ...

Есть: FreeBSD 6.1 + Samba3(от неё Winbindd - авторизация чезез AD 2003!) + Squid + Sarg

Всё работает ... только как настроить прокси чтоб пропускал IP ...
перед провайдером стоит Циска PIX 515 E (с NATом)...

Огромная просьба помочь в решении ...
Если такая схема не годиться, то ваши предложения как реализовать эту задачу:

Учёт трафика и его ограничение + статистика посещений по юзерам (IP)...


Содержание

Сообщения в этом обсуждении
"Помогите !!! AD+Samba3+Squid !!!"
Отправлено Sloboda , 14-Сен-06 13:52 
Squid и cisco с NAToм? И хотите чтобы пров видел ай-пи юзера?
Имхо, без чрезмерных извращений невозможно, да и зачем прову юзерские ай-пи?

"Помогите !!! AD+Samba3+Squid !!!"
Отправлено LZevs , 14-Сен-06 13:59 
>Squid и cisco с NAToм? И хотите чтобы пров видел ай-пи юзера?
>
>Имхо, без чрезмерных извращений невозможно, да и зачем прову юзерские ай-пи?

Обьясню ...
Юзера ходят в инет со своими IP - тобишь PIXa принимает их адреса и с определёнными условиями отдаёт их к провайдеру (у него тоже прокси ...)... Мне же нужно между пиксой и юзерами поставить прокси (либо ещё что-то!? ;) ) чтобы контролировать трафик ...


"Помогите !!! AD+Samba3+Squid !!!"
Отправлено chocholl , 14-Сен-06 16:10 
>>Squid и cisco с NAToм? И хотите чтобы пров видел ай-пи юзера?
>>
>>Имхо, без чрезмерных извращений невозможно, да и зачем прову юзерские ай-пи?
>
>Обьясню ...
>Юзера ходят в инет со своими IP - тобишь PIXa принимает их
>адреса и с определёнными условиями отдаёт их к провайдеру (у него
>тоже прокси ...)... Мне же нужно между пиксой и юзерами поставить
>прокси (либо ещё что-то!? ;) ) чтобы контролировать трафик ...


единственным чем может помочь squid, в данной ситуации, - это X_Forwarded-For.


"Помогите !!! AD+Samba3+Squid !!!"
Отправлено LZevs , 15-Сен-06 08:52 
>
>единственным чем может помочь squid, в данной ситуации, - это X_Forwarded-For.

Можно по подробнее ...


"Помогите !!! AD+Samba3+Squid !!!"
Отправлено chocholl , 15-Сен-06 17:07 
>>
>>единственным чем может помочь squid, в данной ситуации, - это X_Forwarded-For.
>
>Можно по подробнее ...


у сквида не может быть динамического адреса источника (т.е. откуда ты шлеш пакеты).
но он может добавлять в http заголовок поле X_Forwarded, значение которого заполняется адресом клиента, совершившего запрос.
у меня так передаются ip-шники для антивируса, чтобы логи нормально смотреть можно было.


"Помогите !!! AD+Samba3+Squid !!!"
Отправлено LZevs , 26-Сен-06 10:14 

>у сквида не может быть динамического адреса источника (т.е. откуда ты шлеш
>пакеты).
>но он может добавлять в http заголовок поле X_Forwarded, значение которого заполняется
>адресом клиента, совершившего запрос.
>у меня так передаются ip-шники для антивируса, чтобы логи нормально смотреть можно
>было.
Можно пожалуйста пример конфига ... этой части !?


"Помогите !!! AD+Samba3+Squid !!!"
Отправлено chocholl , 27-Сен-06 08:35 
>
>>у сквида не может быть динамического адреса источника (т.е. откуда ты шлеш
>>пакеты).
>>но он может добавлять в http заголовок поле X_Forwarded, значение которого заполняется
>>адресом клиента, совершившего запрос.
>>у меня так передаются ip-шники для антивируса, чтобы логи нормально смотреть можно
>>было.
> Можно пожалуйста пример конфига ... этой части !?

вот вырезка из конфига 2.6stable3

//это фича включает посылку этого хеадера дальше в сеть

#  TAG: forwarded_for   on|off
#       If set, Squid will include your system's IP address or name
#       in the HTTP requests it forwards.  By default it looks like
#       this:
#
#               X-Forwarded-For: 192.1.2.3
#
#       If you disable this, it will appear as
#
#               X-Forwarded-For: unknown
#
#Default:
forwarded_for off


//эта фича позволяет его анализировать и строить acl
посмотри в ChangleLog когда эта фича появилась

#  TAG: follow_x_forwarded_for
#       Allowing or Denying the X-Forwarded-For header to be followed to
#       find the original source of a request.
#
#       Requests may pass through a chain of several other proxies
#       before reaching us.  The X-Forwarded-For header will contain a
#       comma-separated list of the IP addresses in the chain, with the
#       rightmost address being the most recent.
#
#       If a request reaches us from a source that is allowed by this
#       configuration item, then we consult the X-Forwarded-For header
#       to see where that host received the request from.  If the
#       X-Forwarded-For header contains multiple addresses, and if
#       acl_uses_indirect_client is on, then we continue backtracking
#       until we reach an address for which we are not allowed to
#       follow the X-Forwarded-For header, or until we reach the first
#       address in the list.  (If acl_uses_indirect_client is off, then
#       it's impossible to backtrack through more than one level of
#       X-Forwarded-For addresses.)
#
#       The end result of this process is an IP address that we will
#       refer to as the indirect client address.  This address may
#       be treated as the client address for access control, delay
#       pools and logging, depending on the acl_uses_indirect_client,
#       delay_pool_uses_indirect_client and log_uses_indirect_client
#       options.
#
#       SECURITY CONSIDERATIONS:
#
#               Any host for which we follow the X-Forwarded-For header
#               can place incorrect information in the header, and Squid
#               will use the incorrect information as if it were the
#               source address of the request.  This may enable remote
#               hosts to bypass any access control restrictions that are
#               based on the client's source addresses.
#
#       For example:
#
#               acl localhost src 127.0.0.1
#               acl my_other_proxy srcdomain .proxy.example.com
#               follow_x_forwarded_for allow localhost
#               follow_x_forwarded_for allow my_other_proxy
#
#Default:
# follow_x_forwarded_for deny all