URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4359
[ Назад ]

Исходное сообщение
"Как привязать proxy_auth к ip адресам?"
Отправлено GAS_solver , 27-Сен-06 12:07

Добрый день.
имеются следующие настройки
auth_param basic program /usr/local/squid/libexec/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Password for Internet
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl my_ip src 192.168.0.6/255.255.255.255
acl users src "/etc/squid/users_ip.ip"
acl passwd proxy_auth REQUIRED
http_access allow my_ip
http_access allow passwd users
http_access deny all
все замечательно работает, запрашивает пароль, проверяет наличие ip в списке, и если его там нет, то не пускает, а если есть, то грузит.
Вопрос такой:
Как привязать proxy_auth к ip адресам, чтобы отключить приглашение авторизации других машинах не users.

Содержание

Как привязать proxy_auth к ip адресам?,aljil, 15:32 , 27-Сен-06
- Как привязать proxy_auth к ip адресам?,GAS_solver, 15:39 , 27-Сен-06

Сообщения в этом обсуждении

"Как привязать proxy_auth к ip адресам?"
Отправлено aljil , 27-Сен-06 15:32

>Добрый день.
>
>имеются следующие настройки
>
>auth_param basic program /usr/local/squid/libexec/ncsa_auth /etc/squid/passwd
>auth_param basic children 5
>auth_param basic realm Password for Internet
>auth_param basic credentialsttl 2 hours
>auth_param basic casesensitive off
>
>acl my_ip src 192.168.0.6/255.255.255.255
>acl users src "/etc/squid/users_ip.ip"
>acl passwd proxy_auth REQUIRED
>
>http_access allow my_ip
>http_access allow passwd users
>http_access deny all
>
>все замечательно работает, запрашивает пароль, проверяет наличие ip в списке, и если
>его там нет, то не пускает, а если есть, то грузит.
>
>
>Вопрос такой:
>
>Как привязать proxy_auth к ip адресам, чтобы отключить приглашение авторизации других машинах
>не users.

Если я правильно понял, надо контролировать, чтобы введенный логин соответствовал ИП-адресу? В смысле чтобы логин Пети не использовали с тазика Маши? И чтобы у части юзверей такое соответствие не проверялось (типа достаточно только логина\пароля), а у части не запрашивался логин\пароль вообще?
Если я правильно понял, то:
а) проверка соответствия логина ИП-адресу - см. хелпер ip_user ( squid-xxxxxxx/helpers/external_acl/ip_user)
б) кому надо по полной программе - проверка соответствия логина ИП-адресу, вставь в тэг http_access оба акл-я - свой passwd и созданный для указанного выше хелпера, что-то вроде
...
auth_param basic program /usr/local/squid/libexec/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Password for Internet
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
...
external_acl_type ip-check concurrency=5 %SRC %LOGIN и т.д. (см.доку хелпера)
...
acl vpupkin src xxx.yyy.zzz.kkk/255.255.255.255
acl my_ip src 192.168.0.6/255.255.255.255
acl users src "/etc/squid/users_ip.ip"
acl check-ip external ip-check
acl passwd proxy_auth REQUIRED
...
# У тебя логин и пароль не спросят вообще (но могут заспуфить твой ИП!)
http_access allow my_ip
# При заходе на прокси с ИП Пупкина спросят логин и пароль (но можно задать любой
# правильный логин\пароль, совершенно необязательно пупкинский!)
http_access allow vpupkin passwd
# А вот в таком варианте проверят, что введенный логин\пароль соответствует
# указанному ИП-адресу, то есть Петя при работе со своего тазика не прикинется Машей
http_access allow users passwd check-ip
...
Хотя заспуфить мона даже МАК-адрес...

"Как привязать proxy_auth к ip адресам?"
Отправлено GAS_solver , 27-Сен-06 15:39

Спасибо все срослось.