acl для squid

0

1

Приветствую! Нужен acl по некоторому уникальному признаку, который есть (или может быть) для всех устройств в локальной сети. Для ipv4 я использовал arp acl acl-name arp «/path/to/list», но для ipv6 это не работает, кроме того ipv6 периодически меняется для безопасности, как описано тут. eui-64 применить тоже не получится. У squid есть mark_client_connection и mark_client_packet, но из описания не ясно как это можно применить в моём случае и можно ли.

←	Debian и pptp туннель

pps limit ipfw

→

Приветствую! Нужен acl по некоторому уникальному признаку

Приветствую! Продаю «acl по некоторому уникальному признаку». Извините но не мог удержатся, само просится :)
А банальная авторизация клиентов не подходит?

anc ★★★★★
(16.07.22 11:56:17 MSK)

Если для всяких МФУ, то их можно вынести в отдельный vlan

router ★★★★★
(16.07.22 14:42:56 MSK)

Ответ на: комментарий от anc 16.07.22 11:56:17 MSK

:) Извиняю. Авторизация не подходит, нужно незаметно в прозрачном режиме.

vlad_s
(16.07.22 21:35:50 MSK) автор топика

Ответ на: комментарий от router 16.07.22 14:42:56 MSK

Это обычные клиенты.

vlad_s
(16.07.22 21:36:56 MSK) автор топика

Ответ на: комментарий от vlad_s 16.07.22 21:35:50 MSK

По номеру порта коммутатора, если коммутаторы поддерживают opt82

С другой стороны, для ipv6 все равно есть arp в виде NDP. Раз ты пользовался arp для идентификации клиентов, то и ndp сойдет.

Родить внешнюю acl которая будет по ipv6 адресу отдавать его mac-адрес несложно. Вызвать «ip -6 n» можно из любого вменяемого языка.

Если клиентов много, то написать с использованием libnetlink на C.

vel ★★★★★
(16.07.22 22:46:22 MSK)

Ответ на: комментарий от vel 16.07.22 22:46:22 MSK

Не совсем понятно, как определять конкретные ipv6, если к тому же они меняются. Но например зная mac, можно определить ipv6 и его уже добавить в acl. Ещё не понятно, как external_acl_type будет читать этот acl.

vlad_s
(17.07.22 23:33:13 MSK) автор топика

Ответ на: комментарий от vlad_s 17.07.22 23:33:13 MSK

Зачем определять конкретные ipv6? Ты же ориентируешься на MAC.

Список разрешнных МАС-ов в файле (как acl arp) или в виде файлов какого-нибудь каталога (в tmpfs например).

Если ты хоть немного программировал, то реализовать такой acl не представляет труда.

vel ★★★★★
(18.07.22 10:10:55 MSK)

Ответ на: комментарий от vel 18.07.22 10:10:55 MSK

Я ориентировался на mac для ipv4 в виде

acl mac arp "/path/to/mac-list"

для него (ipv4) это работало. Для ipv6 это не работает, но работает другая схема, про которую вы сказали:

ip -6 n

Первая мысль была добавить к этому | grep «$mac» и вычислить ipv6 для таких mac и уже на базе этого сформировать новый acl в котором будут таки да, ip и «обновлять» его.

PS Я программист постольку-поскольку.

vlad_s
(18.07.22 23:18:00 MSK) автор топика

←	Debian и pptp туннель

Admin

pps limit ipfw

→

Похожие темы