Не получается сделать(если один юзер лазит в инете то болье под его логином чтоб никто не мог зайти).
пишу:
acl users proxy_auth REQUIRED
acl max max_user_ip -s 1

http_access deny max users

пробовал и так :

http_access deny max
или так
http_access allow max users

Короче оно или не пускает всех или пускает всех !
Что я неправильно делаю ?

• max_user_ip,junior, 15:43 , 18-Мрт-03
  • max_user_ip,faq, 17:44 , 18-Мрт-03
    • max_user_ip,Klinok, 14:52 , 23-Мрт-03
      • max_user_ip,Klinok, 14:55 , 23-Мрт-03
      • max_user_ip,alex2000, 16:28 , 31-Мрт-03
    • max_user_ip,junior, 10:09 , 25-Мрт-03
    • max_user_ip,junior, 15:54 , 25-Мрт-03
      • max_user_ip,faq, 02:44 , 28-Мрт-03
        • max_user_ip,junior, 14:39 , 31-Мрт-03
          • max_user_ip,faq, 21:33 , 05-Апр-03
            • max_user_ip,ss, 15:08 , 02-Июн-03
              • max_user_ip,Николай, 17:03 , 03-Июн-03

Делай проверку на юзера, его IP, его MAC, его пароль одновременно.

>Делай проверку на юзера, его IP, его MAC, его пароль одновременно.

Извини - не понял - растолкуй.
У меня юзеры сидят за любыми тачками , не привязаны к конкретной машине.
Просто некоторые используют чужие логины и пароли. А мне надо это запретить.

Кстати, можно ли узнать какие юзеры (логины) подключены в данный момент к проксе и как отрубить кого-то ?

Делается без особых проблем!

все верно у тебя, но в начале поставь еще эту строчку:
authenticate_ip_ttl 99 seconds (в общем нужное тебе время)
acl users proxy_auth REQUIRED
acl max max_user_ip -s 1 (-s этот параметр и указывает на строчку ip_ttl)

http_access deny max users
http_access allow users

и теперь если юзер под логином зашел, то другой только по прошествии 99 сукунд сможет зайти под этим же логином, да и то если первый юзер перестал работать и бездействует!
Если что то не понятно...пиши!
помогу, не пожадничаю!!!

сорри! в строчке http_access deny max users
убери users!!!
Должно быть просто: http_access deny max

>Делается без особых проблем!
>
>все верно у тебя, но в начале поставь еще эту строчку:
>authenticate_ip_ttl 99 seconds (в общем нужное тебе время)
>acl users proxy_auth REQUIRED
>acl max max_user_ip -s 1 (-s этот параметр и указывает на строчку
>ip_ttl)
Кстати у меня Squid ругается на max_user_ip,в какой версии это реализовано.
>http_access deny max users
>http_access allow users
>
>и теперь если юзер под логином зашел, то другой только по прошествии
>99 сукунд сможет зайти под этим же логином, да и то
>если первый юзер перестал работать и бездействует!
>Если что то не понятно...пиши!
>помогу, не пожадничаю!!!

>Кстати, можно ли узнать какие юзеры (логины) подключены в данный момент к
>проксе и как отрубить кого-то ?
# netstat -ap
или
# lsof -i
Увидишь все активные соединения.

>У меня юзеры сидят за любыми тачками , не привязаны к конкретной
>машине.
>Просто некоторые используют чужие логины и пароли. А мне надо это запретить.

Ничего подобное не поможет.
Чтобы попытаться найти решение, нужно локализовать проблему.
Если твои пользователи (не люблю я это "юзвери" и "юзеры", уважать нужно :) ) воруют сниферами или подсматривают пароли иным способом, то предложеный метод не панацея.
Нужно определить критичный параметр задачи. Что важнее - конфиденциальность или сам факт того, что ты хочешь это сделать?
Есди у тебя идёт учёт трафика и в этом всё дело, то привяжи всех к их рабочим станциям статично, т.е. чтобы работала связка Login/Password + IP + MAC-adress + Твои ограничения на каждого пользователя. Только при ОДНОВРЕМЕННОМ совпадении условий пользователь получает доступ в интернет.
Если проблема не стоит таким образом, т.е. трафик не лимитирован, то вся эта идея теряет смысл.
Если ты планируешь ограничивать пользователей по времени доступа к сети, то также имеет смысл делать связку со статичной привязкой к конкретной рабочей станции. Тогда пользователь сам должен решать, отдавать кому-либо свой логин/пароль или хранить его как зеницу ока.
Ежели у тебя в сетке свирепствуют "сниферята", то локализуй этих бездельников, напиши рапорт начальству, настаивай на покупке фирменного свитча вместо хабов, который будет сам привязывать MAC+IP на свой конкретный порт. Если покупка - проблемная штука (нет денег и т.д.), попроси, чтобы тебе дали старые компы и кучу сетевых карт, создай на их основе маршрутизаторы с функциями свитча (так даже лучше, но дольше :) )
И выдели этих "хацкеров" в этот сегмент сети, жёстко привяжи на каждую сетевуху правило доступа (только с одного конкретного адреса). Можно использовать (если у тебя сервер на базе ядра ветки 2.4) патч для ядра (называется антидот2 :) ))ссылка тут http://securitylab.ru/_tools/antidote2.diff.gz ( не забудь прочесть, как активизируется этот патч ). Тогда сервер сам будет тебе слать письма, если кто-то поменяет связку MAC+IP (проверял сам - всё работает).
В общем, как видишь - способов куча.
Выбор за тобой.
Удачи.

>>У меня юзеры сидят за любыми тачками , не привязаны к конкретной
>>машине.
>>Просто некоторые используют чужие логины и пароли. А мне надо это запретить.
>
>Ничего подобное не поможет.
>Чтобы попытаться найти решение, нужно локализовать проблему.
>Если твои пользователи (не люблю я это "юзвери" и "юзеры", уважать нужно
>:) ) воруют сниферами или подсматривают пароли иным способом, то предложеный
>метод не панацея.
>Нужно определить критичный параметр задачи. Что важнее - конфиденциальность или сам факт
>того, что ты хочешь это сделать?
>Есди у тебя идёт учёт трафика и в этом всё дело, то
>привяжи всех к их рабочим станциям статично, т.е. чтобы работала связка
>Login/Password + IP + MAC-adress + Твои ограничения на каждого пользователя.
>Только при ОДНОВРЕМЕННОМ совпадении условий пользователь получает доступ в интернет.
>Если проблема не стоит таким образом, т.е. трафик не лимитирован, то вся
>эта идея теряет смысл.
>Если ты планируешь ограничивать пользователей по времени доступа к сети, то также
>имеет смысл делать связку со статичной привязкой к конкретной рабочей станции.
>Тогда пользователь сам должен решать, отдавать кому-либо свой логин/пароль или хранить
>его как зеницу ока.
>Ежели у тебя в сетке свирепствуют "сниферята", то локализуй этих бездельников, напиши
>рапорт начальству, настаивай на покупке фирменного свитча вместо хабов, который будет
>сам привязывать MAC+IP на свой конкретный порт. Если покупка - проблемная
>штука (нет денег и т.д.), попроси, чтобы тебе дали старые компы
>и кучу сетевых карт, создай на их основе маршрутизаторы с функциями
>свитча (так даже лучше, но дольше :) )
>И выдели этих "хацкеров" в этот сегмент сети, жёстко привяжи на каждую
>сетевуху правило доступа (только с одного конкретного адреса). Можно использовать (если
>у тебя сервер на базе ядра ветки 2.4) патч для ядра
>(называется антидот2 :) ))ссылка тут http://securitylab.ru/_tools/antidote2.diff.gz ( не забудь прочесть, как
>активизируется этот патч ). Тогда сервер сам будет тебе слать письма,
>если кто-то поменяет связку MAC+IP (проверял сам - всё работает).
>В общем, как видишь - способов куча.
>Выбор за тобой.
>Удачи.

Если я привяжу пользователя к IP и MAC , а он пересядет на другую машину - то он не сможет пользоваться инетом !!!
А у меня пользователей намного больше чем машин и пользователи не привязаны к машинам - каждый садится где свободно !
А необходимо это вот для чего: трафик оганичен, а некоторые умники воруют пароли (социальным методом) и потом сидят под ними и качают (от другого имени).Я потом смотрю в sarg-е что кто-то накачал немерянно - а наказать не могу !!! Короче отпадает смысл контроля кто куда лазит и что качает, а контролировать то надо !

>Если я привяжу пользователя к IP и MAC , а он пересядет
>на другую машину - то он не сможет пользоваться инетом !!!

>А у меня пользователей намного больше чем машин и пользователи не привязаны
>к машинам - каждый садится где свободно !
>А необходимо это вот для чего: трафик оганичен, а некоторые умники воруют
>пароли (социальным методом) и потом сидят под ними и качают (от
>другого имени).Я потом смотрю в sarg-е что кто-то накачал немерянно -
>а наказать не могу !!! Короче отпадает смысл контроля кто куда
>лазит и что качает, а контролировать то надо !

1. Переводи squid на digital_auth. По крайней мере пароли не будут гулять по сетке в открытом виде (это обезопасит от сниферов).
2. Ужесточи административно-наказательные меры к нарушителям (согласованно с начальством конечно). Объясни, что это бъёт по бюджету компании, тогда тебе будет "зелёная дорога" в этом.
3. Виновных лишай инета на неделю (к примеру)
4. Регулярная смена паролей пользователям. Поясни, что пароль - это как зубная щётка - должен быть личным и ничьим другим.
5. Регулярно проверяй рабочие станции на наличие клавиатурных шпиЁнов. В 90% случаев - пароли снимать ими легче, раз у тебя нет постоянных пользователей+ПК. Если возможно - переведи все Windows компьютеры на NT-технологию, т.е. поставь WindowsNT или Windows2000. Настрой всё администратором, а пользователям создай учётные записи, без права установки програмного обеспечения. Работать можно, а ставить новый софт - нет. Не забудь обновить их все через Windows update, чтобы обезопаситься от использования "хацкерами" дырок в защите.
Вот в принципе основное, что можно сделать. Остальное - твоя фантазия.
Удачи.

Всем привет!
Вернемся снова к нашим баранам.
Все чудесненько работает , но вот появилась проблемка после того как прописал max_user_ip. Теперь при каждом запуске еще одной копии броузера приходится снова вводить пароль !!!
Как это можно побороть ?
Заранее благодарен !!!

Ну и правильно, так и должно быть

Пусть открывают новое окно из уже запущеного ехплорера.

Приветствую всех!

Тут шла речь о привязке USER+IP+MAC - как это сделать?! Я так понимаю должно быть сопоставление всех этих параметров! Спасибо.