forum.opennet.ru - "Доступ по ip+mac одновременно" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Доступ по ip+mac одновременно"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Доступ по ip+mac одновременно"
Сообщение от Костя (??) on 12-Дек-07, 12:45
Всем доброго времени суток! Подскажите пожалста такую вешь. Поставил сквид, сделал настройку так, чтобы он брал ip адреса клиентов из текстовика. Все работает. Хочу теперь ещё сделать так, чтобы он и по mac-адресам проверку проводил... А то ведь просто ип подменить не сложно. Слышал, что для поддержки фильтрации по мак-адресам нужно пересобрать сквид. Но тогда я как понял, что только по макам можно будут. А как сделать так, чтобы работало одновременно и по мак и по ип???
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Доступ по ip+mac одновременно, ipmanyak, 12:52 , 12-Дек-07, (1)

Доступ по ip+mac одновременно, Костя, 13:04 , 12-Дек-07, (2)

Доступ по ip+mac одновременно, Костя, 13:07 , 12-Дек-07, (3)
Доступ по ip+mac одновременно, ipmanyak, 16:39 , 12-Дек-07, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Доступ по ip+mac одновременно"

Сообщение от ipmanyak (??) on 12-Дек-07, 12:52

>Всем доброго времени суток!
>Подскажите пожалста такую вешь.
>Поставил сквид, сделал настройку так, чтобы он брал ip адреса клиентов из
>текстовика. Все работает. Хочу теперь ещё сделать так, чтобы он и
>по mac-адресам проверку проводил... А то ведь просто ип подменить не
>сложно. Слышал, что для поддержки фильтрации по мак-адресам нужно пересобрать сквид.
>Но тогда я как понял, что только по макам можно будут.
>А как сделать так, чтобы работало одновременно и по мак и
>по ип???
Будет работать и так и так! Просто дополнительно включится фича ARP (MAC) access controls
To use ARP (MAC) access controls, you first need to compile in the optional code. Do this with the --enable-arp-acl configure option:
% ./configure --enable-arp-acl ...
% make clean
% make
If src/acl.c doesn't compile, then ARP ACLs are probably not supported on your system.
If everything compiles, then you can add some ARP ACL lines to your squid.conf:
acl M1 arp 01:02:03:04:05:06
acl M2 arp 11:12:13:14:15:16
http_access allow M1
http_access allow M2
http_access deny all
NOTE: Squid can only determine the MAC address for clients that are on the same subnet. If the client is on a different subnet, then Squid can not find out its MAC address.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Доступ по ip+mac одновременно"

Сообщение от Костя (??) on 12-Дек-07, 13:04

Спасибо за инфу!
А вот тогда такой вопрос:
если у меня так к примеру в сквид.конф
acl ip_addr "/etc/squid/ip_addr"
acl mac_addr "/etc/squid/mac_addr"
#ip_addr и mac_addr - там будут перечислены ипы и маки клиентов.
#можно ли сделать так будет тогда:
http_access allow ip_addr mac_addr - т.е. по двум одновременно контролировать.
А вообще в идеале хочу проверку такую, чтобы конкретный мак соответствовал конкретному ипу и наоборот, а иначе чтобы было аксесс денайд. Вот так вот изголиться можно средствами сквида, чтобы не ставить ничего дополнительного???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Доступ по ip+mac одновременно"

Сообщение от Костя (??) on 12-Дек-07, 13:07

>acl ip_addr "/etc/squid/ip_addr"
>acl mac_addr "/etc/squid/mac_addr"
ошибся, так должно быть:
acl ip_addr scr "/etc/squid/ip_addr"
acl mac_addr arp "/etc/squid/mac_addr"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Доступ по ip+mac одновременно"

Сообщение от ipmanyak (??) on 12-Дек-07, 16:39

>[оверквотинг удален]
>если у меня так к примеру в сквид.конф
>
>acl ip_addr "/etc/squid/ip_addr"
>acl mac_addr "/etc/squid/mac_addr"
>
>#ip_addr и mac_addr - там будут перечислены ипы и маки клиентов.
>
>#можно ли сделать так будет тогда:
>
>http_access allow ip_addr mac_addr - т.е. по двум одновременно контролировать.
Так не нужно делать, делай по отдельности. А в целом тебе лучше заняться не сквидом arp таблицей в самой ОС.
man arp
Принцип такой, загоняешь принудительно в таблицу arp ip и их маки
arp -s ip mac
эти команды пихаешь в скрипт и грузишь его из rc.local
Или качни прогу arpwatch ftp://ftp.ee.lbl.gov/arpwatch.tar.gz
Или прогу ARP ipsentinel
http://www.nongnu.org/ip-sentinel/
Другой способ.
(лучший и наиболее дорогой) нужно купить свитч, который позволяет сделать привязку MAC к конкретному физическому порту в свитче. Побороть подобную защиту практически невозможно.
Еще способ - включить авторизацию по логину и паролю в сквиде.
Ну до кучи читай статью
Как бороться со сменой IP адресов клиентами локальной сети?
http://unixfaq.ru/index.pl?req=qs&id=169

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступ по ip+mac одновременно"
Сообщение от ipmanyak (??) on 12-Дек-07, 12:52
>Всем доброго времени суток! >Подскажите пожалста такую вешь. >Поставил сквид, сделал настройку так, чтобы он брал ip адреса клиентов из >текстовика. Все работает. Хочу теперь ещё сделать так, чтобы он и >по mac-адресам проверку проводил... А то ведь просто ип подменить не >сложно. Слышал, что для поддержки фильтрации по мак-адресам нужно пересобрать сквид. >Но тогда я как понял, что только по макам можно будут. >А как сделать так, чтобы работало одновременно и по мак и >по ип??? Будет работать и так и так! Просто дополнительно включится фича ARP (MAC) access controls To use ARP (MAC) access controls, you first need to compile in the optional code. Do this with the --enable-arp-acl configure option: % ./configure --enable-arp-acl ... % make clean % make If src/acl.c doesn't compile, then ARP ACLs are probably not supported on your system. If everything compiles, then you can add some ARP ACL lines to your squid.conf: acl M1 arp 01:02:03:04:05:06 acl M2 arp 11:12:13:14:15:16 http_access allow M1 http_access allow M2 http_access deny all NOTE: Squid can only determine the MAC address for clients that are on the same subnet. If the client is on a different subnet, then Squid can not find out its MAC address.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Доступ по ip+mac одновременно"
	Сообщение от Костя (??) on 12-Дек-07, 13:04
	Спасибо за инфу! А вот тогда такой вопрос: если у меня так к примеру в сквид.конф acl ip_addr "/etc/squid/ip_addr" acl mac_addr "/etc/squid/mac_addr" #ip_addr и mac_addr - там будут перечислены ипы и маки клиентов. #можно ли сделать так будет тогда: http_access allow ip_addr mac_addr - т.е. по двум одновременно контролировать. А вообще в идеале хочу проверку такую, чтобы конкретный мак соответствовал конкретному ипу и наоборот, а иначе чтобы было аксесс денайд. Вот так вот изголиться можно средствами сквида, чтобы не ставить ничего дополнительного???
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Доступ по ip+mac одновременно"
	Сообщение от Костя (??) on 12-Дек-07, 13:07
	>acl ip_addr "/etc/squid/ip_addr" >acl mac_addr "/etc/squid/mac_addr" ошибся, так должно быть: acl ip_addr scr "/etc/squid/ip_addr" acl mac_addr arp "/etc/squid/mac_addr"
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Доступ по ip+mac одновременно"
	Сообщение от ipmanyak (??) on 12-Дек-07, 16:39
	>[оверквотинг удален] >если у меня так к примеру в сквид.конф > >acl ip_addr "/etc/squid/ip_addr" >acl mac_addr "/etc/squid/mac_addr" > >#ip_addr и mac_addr - там будут перечислены ипы и маки клиентов. > >#можно ли сделать так будет тогда: > >http_access allow ip_addr mac_addr - т.е. по двум одновременно контролировать. Так не нужно делать, делай по отдельности. А в целом тебе лучше заняться не сквидом arp таблицей в самой ОС. man arp Принцип такой, загоняешь принудительно в таблицу arp ip и их маки arp -s ip mac эти команды пихаешь в скрипт и грузишь его из rc.local Или качни прогу arpwatch ftp://ftp.ee.lbl.gov/arpwatch.tar.gz Или прогу ARP ipsentinel http://www.nongnu.org/ip-sentinel/ Другой способ. (лучший и наиболее дорогой) нужно купить свитч, который позволяет сделать привязку MAC к конкретному физическому порту в свитче. Побороть подобную защиту практически невозможно. Еще способ - включить авторизацию по логину и паролю в сквиде. Ну до кучи читай статью Как бороться со сменой IP адресов клиентами локальной сети? http://unixfaq.ru/index.pl?req=qs&id=169
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]