LINUX.ORG.RU
ФорумAdmin

squid.conf - как у всех кроме одного -единственного юзера запрашивать автоизацию?


0

0

есть клиент, написан на дельфи, передавать сквиду умеет только хост и порт, а имя и пароль не умеет.

при этом юзеры все проходят полноценную аутентификацию с паролем

можно ли в конфиге сквида прописать что-нибудь чтобы только он проходил без пароля (ну там если можно порт передавать в клиенте в этом, то чтобы сквид другой порт слушал и пропускал все что по нему без пароля а с другого-стандартного, 3128 с паролем)

???


boot floppy
может ли SARG быть заражен вирусом? ls при этом конкретнто съехал!!

Непонятно..у тебя этот, разЪединственный он что, с разных компов выйти может? или только с одного строго определеного?
Тогда обычный ацл для него, родимого, по айпи/мак-адресу, чтоб не спрашивали с него пароля...и до того, как всех под пароль загоняют.... у меня шеф так ходит :)))
Иначе iptables настраиваешь чтоб, тока конкретная машина могла обратиться к "выделенному" порту, а сквиду велишь слушать оба порта. Наверно, скриптом можно идентифицировать машину, с которой ползут в инет, и при совпадении разрешающих условий завернуть ее на "выделенный" порт.

anonymous
()

Непонятно..у тебя этот, разЪединственный он что, с разных компов выйти может? или только с одного строго определеного?
Тогда обычный ацл для него, родимого, по айпи/мак-адресу, чтоб не спрашивали с него пароля...и до того, как всех под пароль загоняют.... у меня шеф так ходит :)))
Иначе iptables настраиваешь чтоб, тока конкретная машина могла обратиться к "выделенному" порту, а сквиду велишь слушать оба порта. Наверно, скриптом можно идентифицировать машину, с которой ползут в инет, и при совпадении разрешающих условий завернуть ее на "выделенный" порт.
Других идей на трезвую голову не рожу... :)))

anonymous
()

еще одно но: с той машины (программка кстати называется интернет-банк) нужно чтобы ходить можно было и с паролем-через интернет-ехплоер :) и без пароля-этот и-банк

и хотя это шеф тоже :)) он хочет чтобы для него тоже считалось сколько он накачал и когда - интересно же!!

и еще - у меня ipfwadm а не iptables :( с портом понятно, но сквид умеет слушать несколько портов? если да то куда их впихнуть?

kenzo
() автор топика

Может я сейчас скажу какую-нибудь глупость... (с) ОСП

но ИМХО - дать шефу "элементарный" логин и пароль и не #$&ть (сушить) себе мозги!

anonymous
()

так блин не в этом дело!! а в том чтобы работала без пароля программка. а не шеф. (ему -то не лень ввести логин-пароль) а программка которая не умеет передавать логин-пароль как-то в обход это делала

kenzo
() автор топика

А такое не прокатит:
acl all src 0.0.0.0/0
acl shara src komp_ip/255.255.255.255
http_access deny all !shara
Оно конечно и директору не будет предлагать ввести пароль, но иначе мне кажется никак нельзя. Как ты можешь объяснить squid-у кто именно лезет программка или директор :-)

Есть 2-й вариант: ты оставляешь настройки proxy server-а как и были (через squid), а сама делаешь masquerade для этой тачки (и лучше чтоб об этом никто не знал, кто за этим компом сидит) :-)
В результате программка лезет напрямую - masquerade ее пропускает;
директор ничего не подозревая лезет через squid - он спрашивает login/password, и статистика считается так же, как и для других :-)

spirit ★★★★★
()

1. Хм ... Это што у вас, *бсди? Или все-таки среденвековая версия линуха?
ipfwadm тоже должен уметь заворачивать порты..наверно...
Теперь по теме...
2.А кто сказал что для шефа ничего считаться не будет? Все точно также тока при подведении итогов вместо его имени в таблице будет его айпи.
Недостатки
1) Айпи легко поменять
2) Кто-то еще может залезть в инет с его машины. Это очень легко и без непосредственного доступа к клаве и вообще входа в комнату.
методы борьбы известны
3. В самом деле может лучше прописать твоей проге нужный порт, и открыть для внешнего мира только его и только этой машине. Точно так же как и, например, почту. Тогда траффик будет считаться отдельно для этой проги и для остальных сервисов. Из плюсов то, что не будет сквозного выхода в инет как при полном маскарадинге

anonymous
()

Если какая-то секурная прога будет шляться черз сквид, то результаты ее работы будут долго храниться в кеше сквида... :)))) Если это и надо, то лучше сниффером пользоваться :))))

anonymous
()

Заворачивать порты с одной машины на другую может, например, rinetd (http://www.freshmeat.net, далее search). Приятная вещь.

Или, если я правильно понял man ipfwadm, то форвардить порт может ключ -r.

Obidos ★★★★★
()

всем спасибо!

шеф интересуется, приходится объяснять что к чему-да и сам он крутой программмер и проч. :))

а сделала я так:

ipfwadm -F -a accept -m -S boss_local_ip/255.255.255.255 -P tcp -D 0/0 8000

вот :) все работает, шеф и через сквид ходит-иначе не может в инет и прога с 8000 портом работает!!

Супер. Возьмите на заметку :)

kenzo
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
boot floppy
Admin
может ли SARG быть заражен вирусом? ls при этом конкретнто съехал!!