LINUX.ORG.RU

мак адресу полный доступ на прокси сервере SQUID

Что вы под этим понимаете?

А так читай документацию пол squid.conf и acl arp.

kostik87 ★★★★★
()

в линуксе полный 0

наймите системного администратора.

MikeDM ★★★★★
()

микедм дело говорит, как бы это странно ни звучало, найдите хоть на удалёнку кого-то

anonymous
()
Ответ на: комментарий от kostik87

В общем до меня еще все было настроено и работает, пользователям закрыт доступ к соц сетям и тому подобному контенту, можно поднять проксю и на винде но на центе уже есть и как по мне это гораздо лучше, начал изучать, директору поставили новый роутер и нужно по маку роутера или толи IP дать ему полный доступ без ограничений, так как на меня давят решил попросить помощи у Вас здесь. Спасибо

DragonFly
() автор топика
Ответ на: комментарий от DragonFly

В таком случае нужно видеть конфигурационный файл squid`а. Обычно это /etc/squid/squid.conf. Содержимое файла поместите на pastebin сервис, а ссылку сюда.

Ну и вопрос, вы хоть воспользовались указанным в первом сообщении критерием поиска? Открывали страницу документации и указанный файл?

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

при попытке открыть получаю вот что: http://pastebin.com/xUMe0wQE возможно я что то не так делаю, по поводу документации, у меня есть распечатка моего конфиига с кое каким описанием, но что с этим делать увы не знаю решил начать изучать и хочу начать с этого.

DragonFly
() автор топика
Ответ на: комментарий от DragonFly

Есть даже распечатка SQUID для новичков, но там нет того что мне нужно и какой то последовательности, на пример как править ту самую конфигурацию на пример для запрета пользователю доступ по мак адресу делаем следующее : «команда» «мак адрес» итд

DragonFly
() автор топика
Ответ на: комментарий от DragonFly

Файл нужно открывать в текстовом редакторе

nano /etc/squid/squid.conf
или программе просмотра текстовых файлов.
less /etc/squid/squid.conf

Но вам лучше скопировать его на Flah накопитель и затем уже в Windows поместить содержимое файла на pastebin сервис.

mkdir /tmp/usb
mount /dev/sdXY /tmp/usb
cp /etc/squid/squid.conf /tmp/usb
umount /tmp/usb
kostik87 ★★★★★
()
Ответ на: комментарий от DragonFly

В официальной документации расписано всё.

Для запрета по mac будет что-то вроде:

acl HOST1 arp aa:bb:cc:dd:ee:ff
http_access deny HOST1

Естественно запись 'http_access deny HOST1' должна быть выше записи, которая разрешает всё для всех ('http_access allow all'), т.к., при обработке конфигурационного файла в случае нахождения правила, которое подходит по критериям под запрос будет использовано первое найденное правило, прочие, расположенные ниже уже обрабатываться не будут.

kostik87 ★★★★★
()
Ответ на: комментарий от DragonFly

Ну, что могу сказать, видимо не определена переменная окружения PATH.

Как минимум должно быть что-то вроде.

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/opt/bin
Т.е. в начале делаете
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/opt/bin
Это для root.

mount /dev/sdXY /tmp/usb

Вы Linux совсем не знаете? sdXY - это имя устройства, точнее указание диска и раздела на диске. XY нужно заменить на соответствующие значения.

/dev/sda - первый диск в системе;
  /dev/sda1 - первый радел первого диска;
  /dev/sda2 - второй радел первого диска;
/dev/sdb - второй диск в системе;
  /dev/sdb1 - первый радел первого диска;
  /dev/sdb2 - второй радел первого диска;

Определите какое имя блочного устройства раздела подключенного Flash накопителя, ведь вы не забыли его подключить?

Например можете воспользоваться утилитой 'blkid' или посмотреть вывод 'fdisk -l'. Всё это будет работать только после определения переменной PATH, смотрите выше. Ну либо можете пробовать указывать полный путь до утилит, т.е. вместо

mkdir /tmp/usb
указывать
/bin/mkdir /tmp/usb
И так далее.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Вывод команды fdisk -l

http://pastebin.com/NpMkpXmh Увы в Linux совсем плохой я кроме user add и passwd ничего не знаю толком. USB накопитель вставлен, вопрос его нужно форматировать под Linux файловую систему или он читает NTFS ?

DragonFly
() автор топика
Ответ на: Вывод команды fdisk -l от DragonFly

А где вы там видите NTFS? Вы что даже не в курсе какая файловая система на вашем накопителе?

Диск /dev/sdc: 4009 МБ, 4009754624 байт
255 heads, 63 sectors/track, 487 cylinders
Единицы = цилиндры по 16065 * 512 = 8225280 байт
 
  Устр-во Загр     Начало       Конец       Блоки   Id  Система
/dev/sdc1   *           1         488     3915744+   b  W95 FAT32
Раздел 1 имеет различные физические/логические окончания:
     физ=(486, 254, 63) логич=(487, 125, 22)

Прочитали сообщение про блокировку по mac, я думаю сами разберётесь, как сделать разрешение? Только учитывайте, что правила обрабатываются иерархически. Ну и если всё же сделаете запрос по критерию, указанному в первом сообщении, то увидите, что ответ на ваш вопрос можно легко найти в официальной документации. Но вы, как я понимаю себя не утруждали такими «сложностями».

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kostik87

Прошу прощения нтфс на автомате написал, fat естественно, дело не в том что мне трудно или лень читать инфу просто начальство стоит над головой по этому что бы не тратить много времени сейчас решил спросить у Вас так как на изучение инфы явно уйдет не один час, и напартачить не хочется, теперь все еще запутанней, как правильно применить команду что бы она выполнялась, если Вы говорите что иерархически обрабатываются. Ладно спасибо и на этом большое, побуду один месяц без премии =)))

DragonFly
() автор топика
Ответ на: комментарий от DragonFly

Ладно спасибо и на этом большое, побуду один месяц без премии =)))

Стимул хороший. После него обычно начинают лучше понимать свои должностные обязанности и быстрее учатся читать документацию и понимать её.

явно уйдет не один час, и напартачить не хочется,

Я так и сказал, вы даже не удосужились отправить указанный запрос в google, буквально первые две-три ссылки и ответ у вас в кармане, чтения на пять минут. А вы уже вторые сутки возитесь.

теперь все еще запутанней, как правильно применить команду что бы она выполнялась, если Вы говорите что иерархически обрабатываются

Я уже вам всё написал, вы читать умеете?

kostik87

при обработке конфигурационного файла в случае нахождения правила, которое подходит по критериям под запрос будет использовано первое найденное правило, прочие, расположенные ниже уже обрабатываться не будут.

Вот в этом сообщении: SQUID + Cent OS дать разрешине по MAC (комментарий)

Сходите вот по этой ссылки: Google squid.conf acl arp, буквально первая ссылка.

Раз уж ваш шеф стоит возле вас, то дайте ему почитать эту тему.

kostik87 ★★★★★
()
acl blacklist url_regex «/etc/squid/blacklist»
http_access deny blacklist

Выше этих строк прописываете определение acl по mac

acl HOST1 arp aa:bb:cc:dd:ee:ff
после чего следующей строкой прописываете разрешение для этого acl
http_access allow HOST1

Вот сокращённый конфиг: http://bpaste.net/show/210424/, за вычетом комментариев

grep -v "^$\|^#" /tmp/sq  | wgetpaste

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kostik87

Хорошо я буду разбираться,Напишите еще пожалуйста как мне залить назад с заменой конфигурацию с флешки безболезнено? Спасибо за помощь,ну а на счет «Стимул хороший. После него обычно начинают лучше понимать свои должностные обязанности и быстрее учатся читать документацию и понимать её.» Вы перегунули))) у меня з\п 250$ с премией это 2 сервака 113 машин, заправка картриджей, ремонт железа,1С, Смета, Босс-Кадровик итд. и за 3 года не отдела не захотели создать не зп повысить... Сорри за Оффтоп накипело

DragonFly
() автор топика
Ответ на: комментарий от kostik87

Еще вопрос, у меня на машине полный доступ по мак адресу, почему этого не видно в конфигурации сквида ?

DragonFly
() автор топика
Ответ на: комментарий от DragonFly

Хорошо я буду разбираться,Напишите еще пожалуйста как мне залить назад с заменой конфигурацию с флешки безболезнено?

Правьте в редакторе, который поддерживает кодировку Linux и конец строки Linux, например Notepad++, ведь у вас Windows. Сохраняйте. И затем обратно копируйте с флешки с заменой файла, смотрите сообщения выше, как монтировать флешку, как копировать. После чего нужно перезапустить squid.

/etc/init.d/squid restart
Возможно стартовый сценарий называется по другому, но маловероятно, в общем смотрит содержимое /etc/init.d/
ls /etc/init.d/
если перезапуск указанной командой не получается.

С другой стороны можете отредактировать прямо на сервере, например посредством редактора 'nano', если его нет, то установите:

yum install nano
nano /etc/squid/squid.conf

После внесения изменений в файл нажимаете «ctrl»+«o», затем ввод, после чего «ctrl»+«x» для выхода.

Ну и перезапуск squid опять же, что бы он перечитал свой конфигурационный файл, смотрите выше.

С другой стороны, если задача допускает пускать ПК шефа не через squid, а просто напрямую, без прозрачного прокси, то достаточно перед правилом перенаправления запросов с 80 порта на порт 3128 прокси поставить «ACCEPT» для хоста с определённым MAC ну и естественно убрать указание прокси в браузере, если он жёстко прописан.

kostik87 ★★★★★
()
Ответ на: комментарий от DragonFly

Вы уверены, что запросы с вашего ПК заворачиваются на squid?

У вас настроен прозрачный прокси

http_port 3128 transparent
Это значит, что запросы с 80 порта шлюза, если прокси явно не указан в настройках клиентского браузера, перенаправляются на порт 3128 шлюза и попадают на squid.

Если у вас на шлюзе настроен NAT, то возможно для вашего ПК не настроено перенаправление на squid, а пакеты идут напрямую через шлюз.

kostik87 ★★★★★
()
Ответ на: комментарий от DragonFly

grep -v «^$\|^#» - убрать из входного файла строки, в которых в начале строки (^#) встречается символ комментария (#) и пустые строки (^$).

В /tmp/sq сохранено содержимое squid.conf с pastebin сервиса.

wgetpaste - утилита для загрузки вывода на выбранный pastebin сервис.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

У Вас есть ICQ ? если есть возможность немного подостаю Вас?!

DragonFly
() автор топика
Ответ на: комментарий от kostik87

я так понимаю еще нужно разобраться в NAT так как несколько мак адресов явно идут не через сквид если они не указаны в конфиге сквида, тогда возникает вопрос как пустить роутер или пк с определненным мак мимо сквида...

DragonFly
() автор топика
Ответ на: Вот вывод, что скажите куда глядеть ? от DragonFly

На squid заворачиваются только IP адреса из диапазонов 192.168.116.52-192.168.116.62 и 192.168.116.200-192.168.116.206:

-A loc_dnat -p tcp -m iprange --src-range 192.168.116.52-192.168.116.62 -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A loc_dnat -p tcp -m iprange --src-range 192.168.116.200-192.168.116.206 -m tcp --dport 80 -j REDIRECT --to-ports 3128

Адреса из диапазона 192.168.116.40-192.168.116.52 идут напрямую через NAT:

-A eth1_masq -m iprange --src-range 192.168.116.40-192.168.116.52 -j SNAT --to-source 193.189.127.100

Посмотрите сами, ниже так же заворачиваются на squid и другие порты.

Но адреса из диапазона 192.168.116.40-192.168.116.52 идут напрямую в любом случае.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kostik87

Спасибо огромное Вы мне очень помогли,задал роутеру айпи из диапазона 116.40-116.52 все крутиться без ограничений и вписки прокси в браузер, буду разбираться дальше как и что редактировать и вносить, скажите большая ли сложность сделать так что бы определенный IP на мое усмотрение шел через NAT ?

DragonFly
() автор топика
Ответ на: комментарий от DragonFly

скажите большая ли сложность сделать так что бы определенный IP на мое усмотрение шел через NAT ?

Как видите нет, достаточно добавить правило для этого IP, разрешающее NAT (SNAT), перед правилами перенаправления на порт прокси (-j REDIRECT --to-ports 3128), ну либо изменить уже существующее правило, например увеличить диапазон.

Но есть один нюанс, судя по вот этим строкам:

-A logdrop -j LOG --log-prefix «Shorewall:logdrop:DROP:» --log-level 6
-A logreject -j LOG --log-prefix «Shorewall:logreject:REJECT:» --log-level 6
-A net2all -j LOG --log-prefix «Shorewall:net2all:DROP:» --log-level 6
и другим аналогичным у вас на сервере стоит shorewall - это web interface для iptables, так что вносить изменения нужно через него, дабы всё не «развалилось», почитайте документацию по тому как подключаться в web интерфейсу, как в нём вносить изменения.

А так, как я уже сказал ничего сложного нет.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Хорошо понял, подскажите пожалуйста еще такое, стоит ли на centOS установить оболчку Gnome или KDE смотря что станет и проблемно ли это ? ? для облегчение мне работы ? на пример для правки конфига сквида или иного чего то ?

DragonFly
() автор топика
Ответ на: комментарий от DragonFly

стоит ли на centOS установить оболчку Gnome или KDE

Особого смысла ставить на сервер графическую оболочку нет. Тем более, если вы хотите просто редактировать текстовые конфигурационные файлы.

Запустите ssh сервер, если он у вас сейчас ещё не запущен и подключайтесь через ssh с windows, ну либо заходите напрямую через консоль. Консольных текстовых редакторов довольно много, например ed, nano. Если вас смущает навигация в файловой системе, то вы можете установить mc (Midnight Commander) - двухпанельный консольный файловый менеджер, имеющий удобный встроенный текстовый редактор. По внешнему виду он напоминает Norton Commander, Volcov Commander, Far, даже можно сказать Total Commander, этого будет вполне достаточно для навигации по файловой системе и внесению изменений в текстовые конфигурационные файлы. Он присутствует в репозитории CentOS, достаточно набрать:

yum install mc
mc

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 2)
Ответ на: комментарий от kostik87

он вроде бы установлен, сейчас провеню, для соединения использую putty

DragonFly
() автор топика
Ответ на: комментарий от kostik87

попробую разобраться теперь, попробовал открыть squid.conf теперь нужно понять как его редактировать просмотреть получилось))

DragonFly
() автор топика
Ответ на: комментарий от DragonFly

Читайте подписи внизу интерфейса mc, там написано какой кнопкой открыть на редактирование, какой сохранить, это не сложно, читать умеют все.

kostik87 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.