- squid: авторизация по ip и mac,
 ipmanyak, 11:20 , 20-Дек-10 (1)
- squid: авторизация по ip и mac, wsnet, 13:28 , 20-Дек-10 (2)
>[оверквотинг удален]
> А в сквиде выпускать по IP. Если хотите всё сделать в сквиде,
> то сначала соберите сквид с нужной опцией, как указано в ссылке,
> и затем делайте пары акселей, типа:
> acl ip1 src 192.168.0.1
> acl M1 arp 01:02:03:04:05:06
> acl ip2 src 192.168.0.2
> acl M2 arp 11:12:13:14:15:16
> http_access allow M1 ip1
> http_access allow M2 ip2
> http_access deny all ipmanyak друг спасибо. 1)А в файле то есть никак не получится держать ip и mac ? В конфине сквида как-то расписывать ip и mac для каждого юзера не хочется! Может можно их в разных файлах скажем делать ? Типа этого: acl allow_ip src "/etc/squid/allow_ip"
acl allow_mac arp "/etc/squid/allow_mac"
http_access allow allow_ip allow_mac
http_access deny all Так можно поступить ? 2)Если я на шлюзе командой arp -s ip mac заведу статическую таблицу то верно ли я помимаю что в самом сквиде чтобы разрешить доступ достаточно положим acl allow_ip src "/etc/squid/allow_ip"
http_access allow allow_ip
http_access deny all где файл /etc/squid/allow_ip я буду получать при выполнении команды arp - f /etc/squid/allow_ip (после заполнения статической аrp-таблицы) ? 3) Как поддерживать arp -сформированную статически в актуальном состоянии ?
Скажем как удалять ip адреса из нее ?
- squid: авторизация по ip и mac, reader, 14:44 , 20-Дек-10 (3)
- squid: авторизация по ip и mac, wsnet, 18:49 , 20-Дек-10 (4)
>[оверквотинг удален]
>> acl allow_ip src "/etc/squid/allow_ip"
>> http_access allow allow_ip
>> http_access deny all
>> где файл /etc/squid/allow_ip я буду получать при выполнении команды arp - f
>> /etc/squid/allow_ip (после заполнения статической аrp-таблицы) ?
> да
>> 3) Как поддерживать arp -сформированную статически в актуальном состоянии ?
>> Скажем как удалять ip адреса из нее ?
> а смысл? если нет запроса с ip, то ничего к нему и
> не будет отправляться.А еще такой вопросик, а что будет с ip-ками которых я не буду вручную заносить с помощью команды arp ip mac, или их нужно вносить в любом случаи ?
Скажем как пример есть подсеть 192.168.0.0
Мне необходимо пустить через squid пользователей 192.168.0.10, 192.168.0.20, 192.168.0.30
а остальных не пускать, я делаю следующее
1) завожу ip-ки в arp таблицу
arp -s 192.168.0.10 01:aa:bb:cc:dd:ee
arp -s 192.168.0.20 02:aa:bb:cc:dd:ee
arp -s 192.168.0.30 03:aa:bb:cc:dd:ee 2) выполняю arp -f /etc/squid/allow_hosts тем самым в файле allow_hosts у меня будут правильные IP-ки и соответствующие им MAC-адреса (всего три строки будет в файле) 3)в squid задаю правило
acl allow_ip src "/etc/squid/allow_hosts"
http_access allow allow_ip
http_access deny all 3) То есть теперь доступ в сквиде инет будут получать только три IP-адреса, остальные не будут его получать ?
- squid: авторизация по ip и mac, reader, 21:53 , 20-Дек-10 (5)
- squid: авторизация по ip и mac, wsnet, 01:52 , 21-Дек-10 (6)
Ребята,спасибо за ответы вам! У меня проблемка появилась, после применения скрипта в автозагрузку системы: !/bin/sh
mynet1="192.168.0.";
/usr/sbin/arp -da > null
I=1
while [ $I -le 254 ]
do
arp -s $mynet1$I 0:0:0:0:0:0
I=$(expr $I + 1)
done
/usr/sbin/arp -f /squid/allowed_hosts Построилась таблица-arp все нормально, но вот теперь в системе постоянно выскакивает сообщение: Kernel: arp: mac attempts to modify permanent entry for ip on em1.
где mac - реальный мак пользователя, ip - айпишник, em1 - сетевуха.
То есть я тестирую все это на одной виртуальной машине (клиенте), ну и фря как шлюз конечно.
Как только я поменял у клиента ip на тот, которому в моей статической arp-табличке в качестве mac-адреса прописан фиктивный - 00:00:00:00:00:00 так тут же начинает возникать это сообщение: Kernel: arp: mac 00:0c:29:88:6f:37 attempts to modify permanent entry for ip 192.168.0.30 on em1. Как то можно это обойти ?
|
Версия для распечатки
squid: авторизация по ip и mac, 
