>>>>wiki.squid-cache.org/Features/SslBump ещё большее извращение,
>>> "прозрачного" проксирования ssl, с подменой сертификатов
>> мда, налицо клиническая картина. Медицина бессильна.
> "я не тормоз, я просто медленно думаю" Andrey Mitrofanov, вам единственному хочу сказать спасибо за наводку на SslBump, хотя и запоздала она немного. К тому времени сам набрел. Однако и вы не удержались от подковырки. Ну да ладно, на фоне этой стайки толстеньких неумелых троллей... (Если что, не хотел вас обидеть! И сам бываю грешен. :)
Жалко вот, тролли неинтересные набижали. Тупенькие совсем. Особенно феерично обкакался этот:
>> Как насчёт контр-тезиса, что в пределах эзернет-сегмента может быть _вполне применимо?
> Вполне себе нормальный тезис. Только находится ли прокси с одном L2-сегменте
> - далеко не очевидно из описанного выше. А приведенная автором строка
> из параметров лога сквида - абсолютно не в кассу. Ну умеет
> он писать маки в логи и что? Вопрос в том -
> как он их получит.
Самую первую строку первого поста прочитать, не? Вот эту:
027 > Имеется несколько wi-fi точек доступа, подключенных через свитч к самопальному роутеру на debian 6.
А как вещал, как вещал! ггг
Дядя_Федор > Возможно, через какое-то время Вы поймете сферу действия MAC-адреса и сферу действия сквида. И (возможно) - тогда поймете глупость того, что Вы пишете.
Крутой одмин, чо там.
Ладно, хватит с вас. Были б вы тонкие тролли, можно было бы поиграть. Тонких уважаю. А вы толстые и скучные. Так что, чао, мои хорошие.
========================
Тому, кто наткнется на эту тему в поисках ответов на подобную задачку.
Я и вправду не админ. Вообще-то меня позвали помочь настроить вебморду к фрирадиусу. Я немного соображаю в настройке апача и построении запросов к мускулю. Когда я увидел, что им повелели сгородить... а особенно, как они начали это реализовывать... в общем, мое слабое доброе сердце не выдержало. :) Им же еще предстоит вбивать в базу порядка 3000 мак-адресов вместе с ФИО владельцев мобильных устройств.
В процессе вникания и возникла такая мысль - ведь сквид по сути будет выступать в роли простого логгера запросов. Нет ли в природе именно логгера? Забивать сапожные гвозди кузнечным молотом как-то некузяво. Однако, похоже таки придется. В конце концов, должно же начальство получить свою игрушку? Собственно такой вопрос и был задан: нет ли подходящей программки для логгирования запросов от браузера? Я с набегу не нашел. Всяких снифферов и кейлоггеров полно, но находились только утилиты, а надо демона.
Правильный ответ не назвал ни один. Правильный, честный ответ был бы - "не знаю". Не знают они такой софтины. Так кто ж признается, троллю инстинкт не велит. Так еды не добудешь.
(Справедливости ради, пару толковых советов они дали. Правда, я именно это не спрашивал, вопросы они сами нателепатировали. Принцип прост - если не знаешь ответа, отвечай на то, что знаешь. И делай томное выражение лица: "это же банально.." Ну что, молодцы, зачот. Я так вступительный экзамен по физике проскочил, в далеком лохматом году догорбачевской еще эпохи. Навык студента-рас...дяя защитан.)
И тут же дружно осудили мою тупость, безграмотность и лень. Это насчет сопоставленения вручную лога dhcpd с логом squid и конфигом freeradius. А то мы без них не догадались. Нарулили рабочий прототип за пару дней, в перерывах между основной работой. Единственная бредовая идея, которую не сразу отвергли, это закреплять в конфиге dhcpd постоянный ip за каждым mac-адресом. Это да, протупили конкретно)))
(...вот вам еще немного еды, кушайте, кушайте. Жалко вас, болезных... плохо кормят, да? :)
В общем и целом, чудо-юдо-нано-СОРМ практически готов к работе. Осталось сочинить вебморду для поиска маков по ФИО. И еще одну - для максимально возможного упрощения процедуры "прописки" студентов на халявном вайфае. Ибо вбивать в базу несколько тысяч записей врукопашную они затрахаются до полусмерти. А в сентябре набежит молодое ретивое стадо первокурсников, числом с полтыщи, и так каждый год. И выпускников, по-хорошему, из базы вычеркивать надо... Как тут без острозаточенной вебморды?
Наверное, проще всего будет прикрутить скрипт к готовой, хоть и не самой удобной для этой цели морде, dialupadmin. В репозитории дебиана она есть. Есть, наверное, и в других популярных дистрибутивах.
Да, а насчет возможности прозрачного проксирования HTTPS я им тоже доложил. Вламываться в шифрованный трафик нехорошо, неэтично и себе дороже будет. Можно, конечно (дал почитать про man-in-the-middle атаку, и что сквид это умеет делать. Вот, влезаешь ты с поддельным сертификатом в сеанс связи студента с платежной системой. Сквид вломиться позволяет. Оно тебе надо? Нет, говорят, ну его нафиг. Вот и славно.
"Собрат по несчастью", если тебе на голову упала похожая задача, отметься в этой теме, поделюсь. Где-то во второй половине января мне таки придется набыдлокодить пару скриптов. Не оставлять же хороших ребят колотить по клаве до одурения.
P.S. ..."Не было печали, купила баба порося". Ты думаешь, я такой умный, брат? Или мне за это деньги платят? Хе-хе. Ни то, ни другое. Я старый больной инженер. Был бы умный - не ввязался бы. Разве что намекнуть попозже, что неплохо бы поляну накрыть? Когда они задолбаются^W прочувствуют :)
Вариант для распечатки
(ok) on 23-Дек-12, 00:03 
