- squid: авторизация по ip и mac, ipmanyak, 11:20 , 20-Дек-10 (1)
- squid: авторизация по ip и mac, wsnet, 13:28 , 20-Дек-10 (2)
>[оверквотинг удален] > А в сквиде выпускать по IP. Если хотите всё сделать в сквиде, > то сначала соберите сквид с нужной опцией, как указано в ссылке, > и затем делайте пары акселей, типа: > acl ip1 src 192.168.0.1 > acl M1 arp 01:02:03:04:05:06 > acl ip2 src 192.168.0.2 > acl M2 arp 11:12:13:14:15:16 > http_access allow M1 ip1 > http_access allow M2 ip2 > http_access deny all ipmanyak друг спасибо. 1)А в файле то есть никак не получится держать ip и mac ? В конфине сквида как-то расписывать ip и mac для каждого юзера не хочется! Может можно их в разных файлах скажем делать ? Типа этого: acl allow_ip src "/etc/squid/allow_ip" acl allow_mac arp "/etc/squid/allow_mac" http_access allow allow_ip allow_mac http_access deny all Так можно поступить ? 2)Если я на шлюзе командой arp -s ip mac заведу статическую таблицу то верно ли я помимаю что в самом сквиде чтобы разрешить доступ достаточно положим acl allow_ip src "/etc/squid/allow_ip" http_access allow allow_ip http_access deny all где файл /etc/squid/allow_ip я буду получать при выполнении команды arp - f /etc/squid/allow_ip (после заполнения статической аrp-таблицы) ? 3) Как поддерживать arp -сформированную статически в актуальном состоянии ? Скажем как удалять ip адреса из нее ?
- squid: авторизация по ip и mac, reader, 14:44 , 20-Дек-10 (3)
- squid: авторизация по ip и mac, wsnet, 18:49 , 20-Дек-10 (4)
>[оверквотинг удален] >> acl allow_ip src "/etc/squid/allow_ip" >> http_access allow allow_ip >> http_access deny all >> где файл /etc/squid/allow_ip я буду получать при выполнении команды arp - f >> /etc/squid/allow_ip (после заполнения статической аrp-таблицы) ? > да >> 3) Как поддерживать arp -сформированную статически в актуальном состоянии ? >> Скажем как удалять ip адреса из нее ? > а смысл? если нет запроса с ip, то ничего к нему и > не будет отправляться.А еще такой вопросик, а что будет с ip-ками которых я не буду вручную заносить с помощью команды arp ip mac, или их нужно вносить в любом случаи ? Скажем как пример есть подсеть 192.168.0.0 Мне необходимо пустить через squid пользователей 192.168.0.10, 192.168.0.20, 192.168.0.30 а остальных не пускать, я делаю следующее 1) завожу ip-ки в arp таблицу arp -s 192.168.0.10 01:aa:bb:cc:dd:ee arp -s 192.168.0.20 02:aa:bb:cc:dd:ee arp -s 192.168.0.30 03:aa:bb:cc:dd:ee 2) выполняю arp -f /etc/squid/allow_hosts тем самым в файле allow_hosts у меня будут правильные IP-ки и соответствующие им MAC-адреса (всего три строки будет в файле) 3)в squid задаю правило acl allow_ip src "/etc/squid/allow_hosts" http_access allow allow_ip http_access deny all 3) То есть теперь доступ в сквиде инет будут получать только три IP-адреса, остальные не будут его получать ?
- squid: авторизация по ip и mac, reader, 21:53 , 20-Дек-10 (5)
- squid: авторизация по ip и mac, wsnet, 01:52 , 21-Дек-10 (6)
Ребята,спасибо за ответы вам! У меня проблемка появилась, после применения скрипта в автозагрузку системы: !/bin/sh mynet1="192.168.0."; /usr/sbin/arp -da > null I=1 while [ $I -le 254 ] do arp -s $mynet1$I 0:0:0:0:0:0 I=$(expr $I + 1) done /usr/sbin/arp -f /squid/allowed_hosts Построилась таблица-arp все нормально, но вот теперь в системе постоянно выскакивает сообщение: Kernel: arp: mac attempts to modify permanent entry for ip on em1. где mac - реальный мак пользователя, ip - айпишник, em1 - сетевуха. То есть я тестирую все это на одной виртуальной машине (клиенте), ну и фря как шлюз конечно. Как только я поменял у клиента ip на тот, которому в моей статической arp-табличке в качестве mac-адреса прописан фиктивный - 00:00:00:00:00:00 так тут же начинает возникать это сообщение: Kernel: arp: mac 00:0c:29:88:6f:37 attempts to modify permanent entry for ip 192.168.0.30 on em1. Как то можно это обойти ?
|