Архив форумов ЦИТФорума

[rhcp]

Привет!
Такая штука.Есть FreeBSD 4.9 , есть прокся с NTLM - авторизацией и естессно домен под упр. Windows2000Server и выделенка в Инет 256К.Все работает, почта есть,инет и прочие радости.Теперь постановка задачи, которую постановили мне:всего юзеров в домене 15 штук, надо организовать доступ 2 штукам с каналом пошире и 5 штукам канал поуже.Остальным 8 штукам Инет не нужен вообще.

Даю кусок squid.conf
auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth
acl myusers1 proxy_auth any dima
acl myusers2 proxy_auth vasya petya kolya tanya
http_access allow myusers1 myusers2
http_access deny all
В итоге в Инет ходят все 15 штук.
Что делать, подскажите плиз?
Может использовать авторизацию по группам?
В принципе можно , но почему так не работает?

[and3008]

squid.opennet.ru
Все написано.

А если ходят все, значит чего-то не доглядел.

Сделай
cat squid.conf | grep acl
cat squid.conf | grep http_access

Результат в студию.

[rhcp]

Я все по бумажечке с вышеуказанного сайта и делал , все ответы самбы,винбинда,сквида в точно совпадают с необходимыми.
даю cat squid.conf|grep acl
acl QUERY urlpath_regex cgi-bin \?
acl network src 192.168.0.0/24
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl ftp proto FTP
acl myusers1 proxy_auth any vadim
acl myusers2 proxy_auth kola peta mana vana goga
acl SSL_ports 443 563
acl Safe_ports port 80 443 21 1025-65535
acl CONNECT method CONNECT
конец.
даю cat squid.conf|grep http_access
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow network
http_access myusers1 myusers2
http_access allow ftp
http_access deny all
конец.
В итоге в Инет ходят пользователи из сети 192.168.0.0/24
Даю кусочек ipfw list
fwd 192.168.0.254/24,3128 tcp from 192.168.0.0/24 to any 80,443,21 via ed1

[crash]

[Sol]

[rhcp]

[rhcp]

[Sol]

в acl network пропиши тех кому можно ходить в инет, а не всю подсеть..

а иначе получается что ты первым же правилом всем разрешил использовать проксю..
_________________
In My Humble Opinion

[Sol]

[rhcp]

[Sol]

попробуй идти от обратного...

http_access deny network !myuser1 !myuser2


может поможет... (хотя тут я не уверен.. критерии сравнения не совпадают)

А днс-имена у тебя есть??
_________________
In My Humble Opinion

[Sol]

можно попробовать сделать так вместо прописывания Ip

acl user1 src anton
acl user2 src vasya

сквид попробует определить ip адрес для anton и vasya
если не получится, то выдаст ошибку на соответствующий acl
_________________
In My Humble Opinion

[and3008]

http_access allow network
http_access myusers1 myusers2
http_access allow ftp
http_access deny all


Перевожу на русский язык:

1. Заходи кто хошь из сети network.
2. Если ты не из этой сети, то ща мы у тебя спросим пароль.
3. Если ты пароль ввел правильно, то разрешим тебе FTP
4. Запретим все, что не разрешили.

Что имеем:
По правилу 1 юзвери твоей сети сразу получают доступ. А если доступ получен, то фигли еще проверять какие-то ACL-ки?
По правилу 2 будут проверять пароль только у юзверей не твоей сети.
Если "не твои" юзвери ввели правильно пароль, то им будер разрешен FTP.
-------------------------------------------
Уже сам багу увидел или подсказать?

[rhcp]

[rhcp]

добавка к последнему.
честно говоря я строго по руководству не делал последнюю часть , а начал умничать и писать ацл самостоятельно , вы их видели.

[rhcp]

если убрать http_access allow network ,то авторизация работает , но все
юзеры ходят в Инет .
Если прописать
acl limited src vasa peta kola
http_access allow limited
пишет - нет такого ip/host vasa peta kola
че делать?

[and3008]

Значится так. Мне что-то подсказывает, что у тебя не получится желаемое.
Если ACL-ка для запроса пароля.
Но нет ACL-ки для разделения тех, кто ввел пароль, чтобы потом к ним применить правила нарезки трафика.

Твои попытки ACL fff src тщетны. Это ACL-ки для указания адреса источника. Юзвери получают IP по DHCP. Поэтому тебе этот тип ACL никаким местом не катит.

[rhcp]