Допустим при подсчете трафика, и как избежать его обмана?
» Ошибка "имя сервера в этом сертификате указанно неправи
По их IP адресам. А какая, собственно, цель преследуется? Если всех туда принудительно загнать и зашейпить, оставив себе любимому жирный кусок канала 
- это одно, тут надо строить прозрачное проксирование, а может, наоборот, нужно только избранных пущать, тогда нужно прикручивать авторизацию или прописывать адреса и/или подсети в acl... 
- это одно, тут надо строить прозрачное проксирование, а может, наоборот, нужно только избранных пущать, тогда нужно прикручивать авторизацию или прописывать адреса и/или подсети в acl... есть модуль для Squid для аутентификации пользователей в Windows домене, на работе ссылка валялась, если это то что нужно, выкину
Нужно контролировать трафик по каждому юзверю.
Но если распознавать по айпи то юзер легко замаскируется под другого.
Guest а обязательно нужен домен?
Но если распознавать по айпи то юзер легко замаскируется под другого.
Guest а обязательно нужен домен?
А почему бы не привязать IP адреса к MAC адресам? Сам не пробовал, но это известная тема:
Привязка IP к MAC адресу
Привязка IP к MAC адресу
во:
MSNT Auth v2.0.3
Squid web proxy NT authentication module
MSNT Auth v2.0.3
Squid web proxy NT authentication module
Неужели ни у кого нет готового решения?????
....хм, я со сквидом давно не работал, но там по моему есть возможность аутентификации по схеме user - passwd - ip,...я сам то доступ только по ip давал а траффик tcpdump-ом считал,...
Добавлено
...полистал доку, нашел такой вот ключ конфига --enable-arp-acl,...мож подойдет
Добавлено
UncoNNecteD...однако, если сеть сегментирована то привязка к MAC адресу не прокатит,...
Добавлено
...полистал доку, нашел такой вот ключ конфига --enable-arp-acl,...мож подойдет
Добавлено
UncoNNecteD...однако, если сеть сегментирована то привязка к MAC адресу не прокатит,...
Дык чем тебе не устраивает вышеупомянутый модуль? Юзер, если не введет свой доменный username/password к и-нету доступа не имеет
Цитата:
полистал доку, нашел такой вот ключ конфига --enable-arp-acl,...мож подойдет
...трабл... Они пишут, что этот ключ вроде уже нерабочий...
UncoNNecteD
Вот полезная ссылочка http://www.artmagic.ru/labs/sqlandwin.shtml если авторизация в NT домене интересует.
А вот как я решил для себя эту проблему...
Скрещивать "коня" (M$) и "трепетную лань" (*nix) заломало
Сделал так: M$ Proxy каскадом через squid
Кэш на M$ не включал, т.е. его задача только доменная авторизация и исходя из этого пущать/непущать, а далее уже сквид рулит (но только с адреса M$ proxy).
Have a nice CPS!
Вот полезная ссылочка http://www.artmagic.ru/labs/sqlandwin.shtml если авторизация в NT домене интересует.
А вот как я решил для себя эту проблему...
Скрещивать "коня" (M$) и "трепетную лань" (*nix) заломало
Сделал так: M$ Proxy каскадом через squid
Кэш на M$ не включал, т.е. его задача только доменная авторизация и исходя из этого пущать/непущать, а далее уже сквид рулит (но только с адреса M$ proxy).
Have a nice CPS!
UncoNNecteD
Однозначно, чтобы траффик считать, юзеров надо авторизовать. Как -- ответов может быть много, т.к. сквид поддерживает много разных способов авторизации. Но у всех них есть один недостаток -- пользователю надо вводить пароль для доступа в и-нет. Следствия 3: это немеряно анноит юзеров (особенно пока не привыкнут), они могут забыть пароль и начать анноить тебя, они могут делиться паролями друг с другом. Этого недостатка лишен только 1 метод авторизации, а именно -- NTLM. Правда тут свои сложности. Во-первых, у тебя должен быть домен NT/W2K. Во-вторых, все юзеры с доступом в и-нет должны быть членами этого домена. И в-третьих, NTLM пока держит только IE начиная, imho, с 4 версии. Но зато плюс один и жирный -- залогинился юзер Вася на своей машине в домене, запустил IE и попал в и-нет без вопросов. А вот тете Маше и-нет не положен и она, даже зная Васин пароль, ничего сделать не сможет -- ведь пароля-то никто не спрашивает, а отлуп сразу дает.
Насчет подсчета трафика. Я использую sarg. Под линуксом. Например, чтобы root получал ежедневный отчет именно по трафику, надо сделать что-то типа:
Цитата:
Однозначно, чтобы траффик считать, юзеров надо авторизовать. Как -- ответов может быть много, т.к. сквид поддерживает много разных способов авторизации. Но у всех них есть один недостаток -- пользователю надо вводить пароль для доступа в и-нет. Следствия 3: это немеряно анноит юзеров (особенно пока не привыкнут), они могут забыть пароль и начать анноить тебя, они могут делиться паролями друг с другом. Этого недостатка лишен только 1 метод авторизации, а именно -- NTLM. Правда тут свои сложности. Во-первых, у тебя должен быть домен NT/W2K. Во-вторых, все юзеры с доступом в и-нет должны быть членами этого домена. И в-третьих, NTLM пока держит только IE начиная, imho, с 4 версии. Но зато плюс один и жирный -- залогинился юзер Вася на своей машине в домене, запустил IE и попал в и-нет без вопросов. А вот тете Маше и-нет не положен и она, даже зная Васин пароль, ничего сделать не сможет -- ведь пароля-то никто не спрашивает, а отлуп сразу дает.
Насчет подсчета трафика. Я использую sarg. Под линуксом. Например, чтобы root получал ежедневный отчет именно по трафику, надо сделать что-то типа:
Цитата:
#!/bin/bash
TODAY=$(date +%d/%m/%Y)
YESTERDAY=$(date --date "1 day ago" +%d/%m/%Y)
sarg -e root -d $YESTERDAY-$TODAY
exit 0
UncoNNecteD
Посмотри следущие ссылки:
http://www.artmagic.ru/labs/sqlandwin.shtml
http://web.onda.com.br/orso/sarg.html
Добавлено
PS: sarg-ом я пользуюсь давно и довольно успешно
Посмотри следущие ссылки:
http://www.artmagic.ru/labs/sqlandwin.shtml
http://web.onda.com.br/orso/sarg.html
Добавлено
PS: sarg-ом я пользуюсь давно и довольно успешно
UncoNNecteD
Кажется в последнем сквиде есть модуль авторизации который используя Basic авторизацию (NCSA) может еще дополнительно к ip привязываться... - это если без NT доменов. В качестве доп меры, можно еще ip к MAC привязать...
Кажется в последнем сквиде есть модуль авторизации который используя Basic авторизацию (NCSA) может еще дополнительно к ip привязываться... - это если без NT доменов. В качестве доп меры, можно еще ip к MAC привязать...
Цитата:
модуль авторизации который используя Basic авторизацию (NCSA)
народ, а как прикрутить ncsa к сквиду? у меня авторизация была по ip-mac, но нашелся один чел, которому нужно, чтоб логин-пароль спрашивался
в линухе у меня mod_auth не прикручен. что делать? EndoR
В сырцах сквида зайдешь в helpers/basic_auth/NCSA, соберешь, проинсталишь.
Потом в сквид.конф:
auth_param basic program /usr/local/bin/ncsa_auth /usr/local/etc/passwd
acl name proxy_auth REQUIRED
а потом уже порядком http_access можешь варьировать.
В сырцах сквида зайдешь в helpers/basic_auth/NCSA, соберешь, проинсталишь.
Потом в сквид.конф:
auth_param basic program /usr/local/bin/ncsa_auth /usr/local/etc/passwd
acl name proxy_auth REQUIRED
а потом уже порядком http_access можешь варьировать.
melkiy
а без
Цитата:
а без
Цитата:
REQUIREDможно обойтись? т.е. чтоб он только конкретно этого чела спрашивал, а остальных не трогал?
EndoR
Если человек ходит с одного IP адреса, например 10.10.10.10, то можно сделать так
acl part1 src 10.10.10.1-10.10.10.9/255.255.255.0
acl oneuser src 10.10.10.10
acl part2 src 10.10.10.11-10.10.10.254/255.255.255.0
acl auth-user proxy_auth REQUIRED
http_access allow part1 part2
http_access allow auth-user
http_access deny all
Вот собственно
Если человек ходит с одного IP адреса, например 10.10.10.10, то можно сделать так
acl part1 src 10.10.10.1-10.10.10.9/255.255.255.0
acl oneuser src 10.10.10.10
acl part2 src 10.10.10.11-10.10.10.254/255.255.255.0
acl auth-user proxy_auth REQUIRED
http_access allow part1 part2
http_access allow auth-user
http_access deny all
Вот собственно
melkiy
Цитата:
его отдельно можно проинсталлить или пересобирать сквид с его поддержкой?
Цитата:
соберешь
его отдельно можно проинсталлить или пересобирать сквид с его поддержкой?
EndoR
можно только модуль собрать
по умолчанию, если ты ничего не менял - squid собирается с поддержкой basic аутентификации и может использовать все модули из helpers/basic_auth
можно только модуль собрать
по умолчанию, если ты ничего не менял - squid собирается с поддержкой basic аутентификации и может использовать все модули из helpers/basic_auth
Уже скомпилил...
просто make, make install в /helpers/basic_auth/NCSA/
Добавлено
Тока он у меня появился не в /bin, а в /libexec почему-то...
Добавлено
Идиотский вопрос.... но что забивать в.htpasswd? Наскока я понимаю, мы его ручками делаем, да?
просто make, make install в /helpers/basic_auth/NCSA/
Добавлено
Тока он у меня появился не в /bin, а в /libexec почему-то...
Добавлено
Идиотский вопрос.... но что забивать в.htpasswd? Наскока я понимаю, мы его ручками делаем, да?
EndoR, .htpasswd создается коммандой htpasswd.
Вот пример: htpasswd -c .htpasswd mylogin
Это создаст файл .htpasswd и запись в нем о пользователе mylogin
Вот пример: htpasswd -c .htpasswd mylogin
Это создаст файл .htpasswd и запись в нем о пользователе mylogin
EndoR
файл в формате
user:password
password - в DES, MD5 или Blowfish
можешь просто hash скопировать из /etc/shadow или master.passwd, смотря что у тебя за ось
P.S.: посмотри файлик ncsa_auth.c - там только одна функция и небольшой блочек main(), используют crypt(3). Военного ничего нет. (man -k crypt)
P.P.S: Вспомнил - можешь использовать утиль от apache - htpasswd - она создает файл такого типа, если ручками конечно лень ковырять
файл в формате
user:password
password - в DES, MD5 или Blowfish
можешь просто hash скопировать из /etc/shadow или master.passwd, смотря что у тебя за ось
P.S.: посмотри файлик ncsa_auth.c - там только одна функция и небольшой блочек main(), используют crypt(3). Военного ничего нет. (man -k crypt)
P.P.S: Вспомнил - можешь использовать утиль от apache - htpasswd - она создает файл такого типа, если ручками конечно лень ковырять
KBECT
Цитата:
нету у меня такой команды
Цитата:
htpasswd
нету у меня такой команды
EndoR, сквид же только под никсы - в них должна быть.
Если хочешь под вынь пароли генерить, то либо найди 69passwd (так она вроде называется, на www.valuehost.ru была точно), либо, если у тебя апач новенький, то в нем есть htpasswd.
Добавлено
Вот тут под винду можно скачать: http://www.filesearch.ru/cgi-bin/s?q=htpasswd.exe&t=f&w=a&x=35&y=13
Если хочешь под вынь пароли генерить, то либо найди 69passwd (так она вроде называется, на www.valuehost.ru была точно), либо, если у тебя апач новенький, то в нем есть htpasswd.
Добавлено
Вот тут под винду можно скачать: http://www.filesearch.ru/cgi-bin/s?q=htpasswd.exe&t=f&w=a&x=35&y=13
...и htpasswd.c не компилится.
Добавлено
KBECT
не, я ее слил. теперь надо попытаться скомпилить.
Добавлено
KBECT
не, я ее слил. теперь надо попытаться скомпилить.
EndoR
Выполни в коммандной строке шела:
perl -e 'print "user: "; chomp($user=<STDIN>); print "password: "; chomp($pass=<STDIN>); print "Password file sting:\n"; print $user.":".crypt($pass, $user)."\n";'
Запросит пользователя, пароль - выведет строчку - можешь добавлять в файл с паролями (одина строка на одного пользователя).
Можешь это все в скриптик запихать, если захочешь.
Выполни в коммандной строке шела:
perl -e 'print "user: "; chomp($user=<STDIN>); print "password: "; chomp($pass=<STDIN>); print "Password file sting:\n"; print $user.":".crypt($pass, $user)."\n";'
Запросит пользователя, пароль - выведет строчку - можешь добавлять в файл с паролями (одина строка на одного пользователя).
Можешь это все в скриптик запихать, если захочешь.
melkiy
Цитата:
а как из написанного выше он узнает, что надо спросить пароль именно у oneuser?
Цитата:
acl part1 src 10.10.10.1-10.10.10.9/255.255.255.0
acl oneuser src 10.10.10.10
acl part2 src 10.10.10.11-10.10.10.254/255.255.255.0
acl auth-user proxy_auth REQUIRED
http_access allow part1 part2
http_access allow auth-user
http_access deny all
а как из написанного выше он узнает, что надо спросить пароль именно у oneuser?
пароль он спросит у любого, кто зайдет с 10.10.10.10
EndoR
axelk сказал правильно - сквид по acl'ям смотрит как и firewall. Т.е. он смотрит acl'и part1 part2 если IP попадают под их - то пускает, остальные правила опускает. Значит всех будет пускать без запроса пароля, а IP не попадающего в part1 и part2 - будет запрашивать логин/пароль.
P.S.: с паролями разобрался?
axelk сказал правильно - сквид по acl'ям смотрит как и firewall. Т.е. он смотрит acl'и part1 part2 если IP попадают под их - то пускает, остальные правила опускает. Значит всех будет пускать без запроса пароля, а IP не попадающего в part1 и part2 - будет запрашивать логин/пароль.
P.S.: с паролями разобрался?
Предыдущая тема: Брандмауэр не отправляется почта с вложениями
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.