forum.opennet.ru - "squid transparent + auth " (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"squid transparent + auth "

Форум Настройка Squid и других прокси серверов (Прозрачный proxy)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"squid transparent + auth "	+/–
Сообщение от Valentin (??) on 07-Июн-06, 16:39
Вообщем такая задача. Отслеживать трафик по именам пользователей в компании (около 200 машин), те чтобы в access.log записывались не IP адреса а имена пользователей. (Возможны различные связки для авторизации, но не в этой теме). Так вот, как бы еще так сделать, чтобы сквид был прозрачным. Пытался мучался, не получается. Вроде как и в мане написано что низя сделать авторизацию и прозрачное прокси. Но мне кажеться всетаки можно. Где то давно видел tutorial, не сохранил. Товарищи помогите, не оставте. Спасибо!!!
Ответить \| Правка \| Cообщить модератору

Оглавление

squid transparent + auth , brumal, 17:08 , 07-Июн-06, (1)

squid transparent + auth , Valentin, 12:04 , 08-Июн-06, (2)

squid transparent + auth , Pbl6a, 12:11 , 11-Июл-06, (3)

squid transparent + auth , Akim.chik, 16:58 , 09-Сен-11, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "squid transparent + auth " +/–

Сообщение от brumal (ok) on 07-Июн-06, 17:08

У себя делал так:
веб-морда которая добавляет-убирает правила в фаервол, и заодно кладет в mysql айпишник пользователя.
потом в squid.conf:
external_acl_type get_username children=20 ttl=0 negative_ttl=0 %SRC php /lalafa/squid.php
http_access allow local1 uname
где local1 одна из моих подсетей.
squid.php:
....
$f=fopen('php://stdin' , 'r');
while($ip = fgets($f, 50))
{
$query="select from users where ip='".$ip."'";
......
if($good==1)
        {
        echo "OK user=".$user."\n";
        }
        else
        {
        echo "ERR\n";
        }
}
сквид будет или пускать в инет и писать в лог вместо айпишника(или вместе с айпишником, смотреть ломает) имя пользователя, что будет в строке OK user=lalafa или вообще не будет пускать в инет говоря access denied, если будет ERR сказано ему.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "squid transparent + auth " +/–

Сообщение от Valentin (??) on 08-Июн-06, 12:04

Вообщем сделал похожее, но использовал немного другое.
external_acl_type ldap %LOGIN /usr/local/libexec/squid/squid_ldap_auth -b dc=espro,dc=ru -h 192.168.1.6 -p 389
потом задаю acl
acl users external ldap
ну и прописываю естесно
http_acess allow users
запускаю squid -d9 (yf отладку)
Выдает месадж
aclAuthenticated: authentication not applicable on accelerated requests
Хотя все auth_param я вообщем то закоментил . Вообщем типа с авторизацией не хочет работать. Ии это беда squid_ldap_auth

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "squid transparent + auth " +/–

Сообщение от Pbl6a on 11-Июл-06, 12:11

>Вообщем сделал похожее, но использовал немного другое.
>
>external_acl_type ldap %LOGIN /usr/local/libexec/squid/squid_ldap_auth -b dc=espro,dc=ru -h 192.168.1.6 -p 389
>
>потом задаю acl
>
>acl users external ldap
>
>ну и прописываю естесно
>http_acess allow users
>
>запускаю squid -d9 (yf отладку)
>Выдает месадж
>aclAuthenticated: authentication not applicable on accelerated requests
>
>Хотя все auth_param я вообщем то закоментил . Вообщем типа с авторизацией
>не хочет работать. Ии это беда squid_ldap_auth

Нет, это он на "%LOGIN" ругается. В доках кстати об этом написано. ;)
Только %SRC можно юзать.
Соответственно задача сводится к написанию скрипта который получая айпишник пользователя будет узнавать кто на машине с этим айпишником в данный момент залогинен и возвращать ответ разрешить/запретить доступ.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "squid transparent + auth " +/–

Сообщение от Akim.chik on 09-Сен-11, 16:58

>[оверквотинг удален]
>>aclAuthenticated: authentication not applicable on accelerated requests
>>
>>Хотя все auth_param я вообщем то закоментил . Вообщем типа с авторизацией
>>не хочет работать. Ии это беда squid_ldap_auth
> Нет, это он на "%LOGIN" ругается. В доках кстати об этом написано.
> ;)
> Только %SRC можно юзать.
> Соответственно задача сводится к написанию скрипта который получая айпишник пользователя
> будет узнавать кто на машине с этим айпишником в данный момент
> залогинен и возвращать ответ разрешить/запретить доступ.
Наверное расстрою, но proxy_auth can't be used in a transparent proxy as the browser needs to be configured for using a proxy in order to respond to proxy authentication.
цитата из squid.conf

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "squid transparent + auth "	+/–
Сообщение от brumal (ok) on 07-Июн-06, 17:08
У себя делал так: веб-морда которая добавляет-убирает правила в фаервол, и заодно кладет в mysql айпишник пользователя. потом в squid.conf: external_acl_type get_username children=20 ttl=0 negative_ttl=0 %SRC php /lalafa/squid.php http_access allow local1 uname где local1 одна из моих подсетей. squid.php: .... $f=fopen('php://stdin' , 'r'); while($ip = fgets($f, 50)) { $query="select from users where ip='".$ip."'"; ...... if($good==1) { echo "OK user=".$user."\n"; } else { echo "ERR\n"; } } сквид будет или пускать в инет и писать в лог вместо айпишника(или вместе с айпишником, смотреть ломает) имя пользователя, что будет в строке OK user=lalafa или вообще не будет пускать в инет говоря access denied, если будет ERR сказано ему.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "squid transparent + auth "	+/–
	Сообщение от Valentin (??) on 08-Июн-06, 12:04
	Вообщем сделал похожее, но использовал немного другое. external_acl_type ldap %LOGIN /usr/local/libexec/squid/squid_ldap_auth -b dc=espro,dc=ru -h 192.168.1.6 -p 389 потом задаю acl acl users external ldap ну и прописываю естесно http_acess allow users запускаю squid -d9 (yf отладку) Выдает месадж aclAuthenticated: authentication not applicable on accelerated requests Хотя все auth_param я вообщем то закоментил . Вообщем типа с авторизацией не хочет работать. Ии это беда squid_ldap_auth
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "squid transparent + auth "	+/–
	Сообщение от Pbl6a on 11-Июл-06, 12:11
	>Вообщем сделал похожее, но использовал немного другое. > >external_acl_type ldap %LOGIN /usr/local/libexec/squid/squid_ldap_auth -b dc=espro,dc=ru -h 192.168.1.6 -p 389 > >потом задаю acl > >acl users external ldap > >ну и прописываю естесно >http_acess allow users > >запускаю squid -d9 (yf отладку) >Выдает месадж >aclAuthenticated: authentication not applicable on accelerated requests > >Хотя все auth_param я вообщем то закоментил . Вообщем типа с авторизацией >не хочет работать. Ии это беда squid_ldap_auth Нет, это он на "%LOGIN" ругается. В доках кстати об этом написано. ;) Только %SRC можно юзать. Соответственно задача сводится к написанию скрипта который получая айпишник пользователя будет узнавать кто на машине с этим айпишником в данный момент залогинен и возвращать ответ разрешить/запретить доступ.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "squid transparent + auth "	+/–
	Сообщение от Akim.chik on 09-Сен-11, 16:58
	>[оверквотинг удален] >>aclAuthenticated: authentication not applicable on accelerated requests >> >>Хотя все auth_param я вообщем то закоментил . Вообщем типа с авторизацией >>не хочет работать. Ии это беда squid_ldap_auth > Нет, это он на "%LOGIN" ругается. В доках кстати об этом написано. > ;) > Только %SRC можно юзать. > Соответственно задача сводится к написанию скрипта который получая айпишник пользователя > будет узнавать кто на машине с этим айпишником в данный момент > залогинен и возвращать ответ разрешить/запретить доступ. Наверное расстрою, но proxy_auth can't be used in a transparent proxy as the browser needs to be configured for using a proxy in order to respond to proxy authentication. цитата из squid.conf
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору