 Доступ по ip+mac одновременно,  Костя, 12-Дек-07, 12:45 [смотреть все]Всем доброго времени суток!
Подскажите пожалста такую вешь.
Поставил сквид, сделал настройку так, чтобы он брал ip адреса клиентов из текстовика. Все работает. Хочу теперь ещё сделать так, чтобы он и по mac-адресам проверку проводил... А то ведь просто ип подменить не сложно. Слышал, что для поддержки фильтрации по мак-адресам нужно пересобрать сквид. Но тогда я как понял, что только по макам можно будут. А как сделать так, чтобы работало одновременно и по мак и по ип???
|
- Доступ по ip+mac одновременно, ipmanyak, 12:52 , 12-Дек-07 (1)
>Всем доброго времени суток!
>Подскажите пожалста такую вешь.
>Поставил сквид, сделал настройку так, чтобы он брал ip адреса клиентов из
>текстовика. Все работает. Хочу теперь ещё сделать так, чтобы он и
>по mac-адресам проверку проводил... А то ведь просто ип подменить не
>сложно. Слышал, что для поддержки фильтрации по мак-адресам нужно пересобрать сквид.
>Но тогда я как понял, что только по макам можно будут.
>А как сделать так, чтобы работало одновременно и по мак и
>по ип??? Будет работать и так и так! Просто дополнительно включится фича ARP (MAC) access controls
To use ARP (MAC) access controls, you first need to compile in the optional code. Do this with the --enable-arp-acl configure option:
% ./configure --enable-arp-acl ...
% make clean
% make
If src/acl.c doesn't compile, then ARP ACLs are probably not supported on your system.
If everything compiles, then you can add some ARP ACL lines to your squid.conf:
acl M1 arp 01:02:03:04:05:06
acl M2 arp 11:12:13:14:15:16
http_access allow M1
http_access allow M2
http_access deny all
NOTE: Squid can only determine the MAC address for clients that are on the same subnet. If the client is on a different subnet, then Squid can not find out its MAC address.
- Доступ по ip+mac одновременно, Костя, 13:04 , 12-Дек-07 (2)
Спасибо за инфу!
А вот тогда такой вопрос:если у меня так к примеру в сквид.конф acl ip_addr "/etc/squid/ip_addr"
acl mac_addr "/etc/squid/mac_addr" #ip_addr и mac_addr - там будут перечислены ипы и маки клиентов. #можно ли сделать так будет тогда: http_access allow ip_addr mac_addr - т.е. по двум одновременно контролировать. А вообще в идеале хочу проверку такую, чтобы конкретный мак соответствовал конкретному ипу и наоборот, а иначе чтобы было аксесс денайд. Вот так вот изголиться можно средствами сквида, чтобы не ставить ничего дополнительного???
- Доступ по ip+mac одновременно, Костя, 13:07 , 12-Дек-07 (3)
>acl ip_addr "/etc/squid/ip_addr"
>acl mac_addr "/etc/squid/mac_addr" ошибся, так должно быть: acl ip_addr scr "/etc/squid/ip_addr"
acl mac_addr arp "/etc/squid/mac_addr"
- Доступ по ip+mac одновременно, ipmanyak, 16:39 , 12-Дек-07 (4)
>[оверквотинг удален]
>если у меня так к примеру в сквид.конф
>
>acl ip_addr "/etc/squid/ip_addr"
>acl mac_addr "/etc/squid/mac_addr"
>
>#ip_addr и mac_addr - там будут перечислены ипы и маки клиентов.
>
>#можно ли сделать так будет тогда:
>
>http_access allow ip_addr mac_addr - т.е. по двум одновременно контролировать. Так не нужно делать, делай по отдельности. А в целом тебе лучше заняться не сквидом arp таблицей в самой ОС.
man arp
Принцип такой, загоняешь принудительно в таблицу arp ip и их маки
arp -s ip mac
эти команды пихаешь в скрипт и грузишь его из rc.local
Или качни прогу arpwatch ftp://ftp.ee.lbl.gov/arpwatch.tar.gz
Или прогу ARP ipsentinel
http://www.nongnu.org/ip-sentinel/ Другой способ.
(лучший и наиболее дорогой) нужно купить свитч, который позволяет сделать привязку MAC к конкретному физическому порту в свитче. Побороть подобную защиту практически невозможно. Еще способ - включить авторизацию по логину и паролю в сквиде.
Ну до кучи читай статью
Как бороться со сменой IP адресов клиентами локальной сети?
http://unixfaq.ru/index.pl?req=qs&id=169
|
Версия для распечатки
