LINUX.ORG.RU

идиотская задумка со squid


0

0

сильно не пинайте. Вопрос возможно идиотский и нерешаемый, но возникла такая идейка (по большей части ради развития). Ну а вторая - чтоб не дать возможность в инете просто так лазить. выход в инет через gprs. само собой только интерфейс ppp0 (eth0 сейчас некуда цплять). Выполнима ли такая идея, как не разрешить никому входить в инет через браузер минуя сквид (не зная логина и пароля)? (вариант с тем, что просто не давать возможность выхода в инет отпадает - нужно чтоб работала почта без всяких заморочек). Если бы была вторая машинка, которую можно было бы поставить в качестве проксисервера, то вопросов бы не было. А возможно ли такой изврат сделать на одном компе?

★★★

Ответ на: комментарий от FoXy_

iptables - конечно хорошо, но мне надо именно чтоб выйти в инет можно было только по паролю с логином. Почему и написал про вариант со сквидом.

Если про iptables имеется ввиду то, что как-то все зарулить на сквида, то пока не могу сообразить как именно, чтоб нельзя было минуя сквид достучаться до ppp0 кроме как на порты 110 и 25. В варианте на отдельностоящей машинке с двумя интерфейсами (один в локалку другой в инет) все легко понятно. А вот в таком варианте, когда это одна машина никак не пойму что делать

deys ★★★
() автор топика
Ответ на: комментарий от deys

--uid-owner userid
Matches if the packet was created by a process with the given effective user id.

VovanE
()
Ответ на: комментарий от deys

как вариант:
маркиролвать пакеты входящие на localhost 3128
и выпускать только на 110 и 25, а на 80 и 8080 только маркированные.
если не прав - меня поправят...

FoXy_
()
Ответ на: комментарий от VovanE

если я првельно понял, то нужно так (поправте, где неправ)

разрешаем 25 и 110 (ну и что остальное без сквида должно ходить), дальше что и требуется - чтоб только через сквида ходить:

iptables -A OUTPUT -o ppp0 -m owner -p tcp --uid-owner squid -j ACCEPT

А остально запрещаем. Правельно? В итоге получится что выйти в инет смогут тольо почтовые проги и те, которые настроенны на использование прокси? Так?

deys ★★★
() автор топика
Ответ на: комментарий от VovanE

ну днс то это уже отдельно:)

Спасибо большое за советы. Сейчас буду пробовать.

deys ★★★
() автор топика

Так ты отруби SNAT, поставь нужные прокси с авторизацией и заворачивай всех на эти прокси..

MiracleMan ★★★★★
()
Ответ на: комментарий от deys

Ну как это при чём? Хотя да.. ;-) Ты ведь имел в виду выход многих пользователей в инет с одной машинки с внешним IP? ;-) Тогда, остаётся тоже самое, только без SNAT..

MiracleMan ★★★★★
()
Ответ на: комментарий от deys

И имей в виду.. Squid - это всего лишь http прокси.. Для полного управления ситуацией не достаточно uid-owner или multiport.. Нужны полноценные proxy службы заводить.. Хотя, если тебе этого достаточно.. Тогда, прошу прощения..

MiracleMan ★★★★★
()
Ответ на: комментарий от MiracleMan

мне всего навсего нужно чтоб выход с локальной машинки только через прокси был возможен. Вроде все нормально получилось.

PS:// я тут как-то пытал по поводу сима, что он дома, через МТС gprs, отправляет сообщения тем, кто через мобильную асю , минуты по две пытается отправить через 192.168.0.1:43981. Так вот сквид помог избавиться от этого глюка.

deys ★★★
() автор топика
Ответ на: комментарий от deys

Да я это и имел в виду.. Если только идентификация, то этого достаточно.. Просто управлять другими протоколами, кроме, http при помощи squid ты не сможешь.. Но, если тебя это устраивает..

MiracleMan ★★★★★
()

Я вообще не понимаю одно. Народ. А зачем извраты через сквид когда есть ВПН, ВПНД, Радиус?

anonymous
()
Ответ на: комментарий от MiracleMan

delegate умеет даже телнет сесии пускать, но один черт это изврат через сквид все делать. Сквид нужно оставлять прозрачным.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.