The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"squid transprent proxy + auth ncsa"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"squid transprent proxy + auth ncsa"
Сообщение от 2vl emailИскать по авторуВ закладки on 26-Сен-03, 14:40  (MSK)
hi all
transparent proxy пашет, ncsa пашет ,но все по раздельности ! Как решить проблему совместной работы ? Зверей надо принудительно гонять через proxy, но и авторизовывать их тоже обязательно. Прописать на каждой машине proxy:port так ведь либо сменят либо просто отключат чего делать ! Были сказаны слова что это в принципе не возможно, правда ли это ? Может другой метод аутентификации применять?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "squid transprent proxy + auth ncsa"
Сообщение от Michael Искать по авторуВ закладки on 26-Сен-03, 14:56  (MSK)
>transparent proxy пашет, ncsa пашет ,но все по раздельности ! Как решить
>проблему совместной работы ?
уж чуть не на каждом заборе пишут, что сквид не может эти две вещи совмещать...
http://www.squid-cache.org/Doc/FAQ/FAQ-17.html#ss17.15

>Зверей надо принудительно гонять через proxy, но
>и авторизовывать их тоже обязательно. Прописать на каждой машине proxy:port так
>ведь либо сменят либо просто отключат чего делать !
ну так и останутся без интернета! им же хуже...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "squid transprent proxy + auth ncsa"
Сообщение от 2vl emailИскать по авторуВ закладки on 26-Сен-03, 18:37  (MSK)
>ну так и останутся без интернета! им же хуже...
Эти гады полезут через nat , а отрубать его нельзя :(
А каким нибудь хитрым редиректом:
типа 2 squida 1й транспарит и редиректит на
squid 2 который и определяет ... или первый squid все убет ?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "squid transprent proxy + auth ncsa"
Сообщение от junior Искать по авторуВ закладки on 28-Сен-03, 13:36  (MSK)
>Эти гады полезут через nat , а отрубать его нельзя :(
Если ты закроешь пересылку запросов на 80, 443 и проч. порты, то каким образом они попадут в инет????
Не мучай свою голову и не мучь других. Закрыл форвард кроме почтовых портов и пей пиво. Кто попробует обойти прокси - тот сам себе злой Буратино. Поставь логирование на таой случай. Увидешь нарушителя - подойди и дай ему по башке сам, чтобы в следующий раз не повадно было.

>А каким нибудь хитрым редиректом:
> типа 2 squida 1й транспарит и редиректит на
>squid 2 который и определяет ... или первый squid все убет ?

Ты только представь, сколько ресурсов сожрут 2 прокси на тачке..:)))

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "squid transprent proxy + auth ncsa"
Сообщение от Михаил emailИскать по авторуВ закладки on 29-Сен-03, 10:27  (MSK)
>Закрыл форвард кроме почтовых портов и пей пиво.
вот именно! :)

>Поставь логирование на таой случай. Увидешь нарушителя -
>подойди и дай ему по башке сам, чтобы в следующий раз
>не повадно было.
не надо так категорично :) существует еще куча всякого софта, который без ведома пользователя в инет лезет... всякие вирусы, десктопные украшалки и т.п.

>>А каким нибудь хитрым редиректом:
>> типа 2 squida 1й транспарит и редиректит на
>>squid 2 который и определяет ... или первый squid все убет ?
>
>Ты только представь, сколько ресурсов сожрут 2 прокси на тачке..:)))
во-первых, не намного больше, чем один при грамотной настройке...
во-вторых, имхо, это не пройдет...


  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "squid transprent proxy + auth ncsa"
Сообщение от 2vl emailИскать по авторуВ закладки on 29-Сен-03, 13:35  (MSK)
Нет ребяты , пулемет вам даваь нельзя :) Проблема как раз в том, что Nat должен пахать нормально, и только при смерти squid должен АВТОМАТИЧЕСКИ начать работать.Т.е. закрыть его нельзя. 2 squida на 2.2 ГГц + 512рам  вообще не заметно , всего-то 30 чел лезут , да и не всегда единовременно. Вопрос ,модет быть стороний метод auth или внешняя програмулина может решить проблему совместной работы или нет ?
зы.
Тунелирование никто пока не отменял поэтому закрыть 80, 443 это не выход...  
  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "squid transprent proxy + auth ncsa"
Сообщение от Михаил emailИскать по авторуВ закладки on 29-Сен-03, 14:59  (MSK)
>Нет ребяты , пулемет вам даваь нельзя :) Проблема как раз в
>том, что Nat должен пахать нормально, и только при смерти squid
>должен АВТОМАТИЧЕСКИ начать работать.
ну так и делай автоматическое начало работы, а не постоянное! кто тебе не дает?

>Тунелирование никто пока не отменял поэтому закрыть 80, 443 это не выход...
туннелирование через http? так тебя от этого ни НАТ, ни сквид не спасут, так что тут сквид не лучше НАТА...
а бывает еще туннелирование через другие протоколы и порты...

имхо, если уж пользователи такие трудновоспитуемые и достаточно грамотные, чтобы туннели поднимать, то поможет только VPN и прописывание правил доступа для каждого индивидуально по мере потребностей и доверия к пользователю...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "squid transprent proxy + auth ncsa"
Сообщение от 2vl emailИскать по авторуВ закладки on 29-Сен-03, 18:47  (MSK)
>ну так и делай автоматическое начало работы, а не постоянное! кто тебе
>не дает?

михаил , вот в этом и вопрос как сделать ?
Была идея проверять наличие squid в процессах типа Ps -aux | grep squid и
в случае отсутствия за пускать nat + ipfw + rules
Но с какой переодичностью, и это все проверять и .т.д Может есть более гуманное решение [WCCP+cisco предлагать не надо :)]

>>Тунелирование никто пока не отменял поэтому закрыть 80, 443 это не выход...
>туннелирование через http? так тебя от этого ни НАТ, ни сквид не
>спасут, так что тут сквид не лучше НАТА...
>а бывает еще туннелирование через другие протоколы и порты...
согласен МИШ , я об этом и сказал сразу :(


  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "squid transprent proxy + auth ncsa"
Сообщение от Михаил emailИскать по авторуВ закладки on 29-Сен-03, 20:12  (MSK)
>михаил , вот в этом и вопрос как сделать ?
>Была идея проверять наличие squid в процессах типа Ps -aux | grep
>squid и
>в случае отсутствия за пускать nat + ipfw + rules
>Но с какой переодичностью, и это все проверять и .т.д Может есть
>более гуманное решение [WCCP+cisco предлагать не надо :)]
1) проверять наличие файла squid.pid (это просто, но не надежно, так как этот файл может остаться после краха сквида)
2) пробовать выполнить простенький запрос, например, скачать wget-ом маленький файл, желательно с сервера во внутренней локалке

проверять можно хоть раз в минуту, это не даст серьезной нагрузки...
лучше исключать период ночных серьезных загрузок, если они есть...

но, имхо, лучше не поднимать НАТ, а поднимать заново сквид!
так не придется при таком переходе ничего менять у пользователей в настройках, да и сквид не так уж часто падает... собственно говоря, у меня такого не было ни разу за 8 месяцев его работы...
а через НАТ выпускать только отдельные необходимые сервисы, типа почту и т.п.

>>>Тунелирование никто пока не отменял поэтому закрыть 80, 443 это не выход...
>>туннелирование через http? так тебя от этого ни НАТ, ни сквид не
>>спасут, так что тут сквид не лучше НАТА...
>>а бывает еще туннелирование через другие протоколы и порты...
>согласен МИШ , я об этом и сказал сразу :(
туннелирование это отдельная проблема, уже не раз обсуждалась на этом форуме, но никаких серьезных мер по предотвращению этого я так и не увидел...
вообще путей припоминаю несколько:
1) ограничение по соединению с отдельными хостами (делается несложно, но следить надо постоянно, так как юзеры будут регулярно находить новые сервера для туннелирования).
2) ограничить в сквиде объем передаваемых запросов и зарезать скорость, так чтобы накладные расходы туннелирования через http мешали комфортно работать, а прямой (читай - подконтрольный) серфинг проходил нормально.
3) ограничить объем скачивания информации на каждого пользователя, причем квоту установить достаточно небольшую, чтобы напрочь отбить желание делиться паролями с коллегами.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "squid transprent proxy + auth ncsa"
Сообщение от 2vl emailИскать по авторуВ закладки on 30-Сен-03, 16:39  (MSK)
> пробовать выполнить простенький запрос, например, скачать wget-ом ...
это лучше чем первое

По поводу туннелирования:
У умных дядей писалось типа можно firwallow смотреть и отсекать !
Но на это у меня уже сил нет , Работа должна оплачиваться соизмеримо, а писать собственную систему обнаружения -- это уж слишком


  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "squid transprent proxy + auth ncsa"
Сообщение от aka Искать по авторуВ закладки on 26-Сен-03, 16:31  (MSK)
>hi all
>transparent proxy пашет, ncsa пашет ,но все по раздельности ! Как решить
>проблему совместной работы ? Зверей надо принудительно гонять через proxy, но
>и авторизовывать их тоже обязательно. Прописать на каждой машине proxy:port так
>ведь либо сменят либо просто отключат чего делать ! Были сказаны
>слова что это в принципе не возможно, правда ли это ?
>Может другой метод аутентификации применять?

Michael тебе правильно всё сказал !  или прозрачный прокси или аутентификация, что тебе лучше - решай сам . Если все таки нужно последнее - придется ножками сходит к каждой тачке и прописать прокси.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "squid transprent proxy + auth ncsa"
Сообщение от OZZY Искать по авторуВ закладки on 29-Сен-03, 16:11  (MSK)
здрасте 2vl ;), со мной ваще беда, блин...
при пересобирании сквида с опцией --enable-auth="ncsa", конфигурица нормально... делаю make clean - ошибка "can't cd to NCSA ***error code 1"; ну там или сразу make all делаю - таже фигня
не пойму что делаю не так %)
зы
из черного списка адрес ликвидировали (кажись), можно стучаться :)))
  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "squid transprent proxy + auth ncsa"
Сообщение от 2vl emailИскать по авторуВ закладки on 29-Сен-03, 19:21  (MSK)
./configure --enable-basic-auth-helpers="NCSA"
бинарник лежит не в ....../bin а в ...../libexec
из apacha тыриш htpasswd и создаеш им файл паролей.
усе (ну в squid.conf прописать надо еще немного)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "squid transprent proxy + auth ncsa"
Сообщение от Михаил emailИскать по авторуВ закладки on 29-Сен-03, 19:58  (MSK)
>./configure --enable-basic-auth-helpers="NCSA"
>бинарник лежит не в ....../bin а в ...../libexec
а я, помнится, ncsa отдельно компилил... хотя и при компиляции сквида специальную опцию тоже давал...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "squid transprent proxy + auth ncsa"
Сообщение от 2vl emailИскать по авторуВ закладки on 30-Сен-03, 16:34  (MSK)
>а я, помнится, ncsa отдельно компилил... хотя и при компиляции сквида специальную опцию тоже давал...

угу можно но не нужно :))

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "squid transprent proxy + auth ncsa"
Сообщение от Dim emailИскать по авторуВ закладки on 06-Дек-03, 09:24  (MSK)
>>а я, помнится, ncsa отдельно компилил... хотя и при компиляции сквида специальную опцию тоже давал...
>
>угу можно но не нужно :))


Привет, Народ !!!
Тут недавно перешел на сквид, но не могу скомпилить никак ncsa, домена у меня нет, поэтому это единственный способ сделать аутентификацию юзверей в канторе... С плеча не рубите, я еще только учусь....
При Make, он мне говорит - "No target to make" и ничего я с этим поделать не могу... Может я что-то пропустил или неправильно делаю.... Подскажите, плиззз !!! Заранее благодарен !!!

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру