forum.opennet.ru - "max_user

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"max_user_ip"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"max_user_ip"
Сообщение от faq on 18-Мрт-03, 11:59 (MSK)
Не получается сделать(если один юзер лазит в инете то болье под его логином чтоб никто не мог зайти). пишу: acl users proxy_auth REQUIRED acl max max_user_ip -s 1 http_access deny max users пробовал и так : http_access deny max или так http_access allow max users Короче оно или не пускает всех или пускает всех ! Что я неправильно делаю ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

max_user_ip, junior, 15:43 , 18-Мрт-03, (1)
- max_user_ip, faq, 17:44 , 18-Мрт-03, (2)
  - max_user_ip, Klinok, 14:52 , 23-Мрт-03, (3)
    - max_user_ip, Klinok, 14:55 , 23-Мрт-03, (4)
    - max_user_ip, alex2000, 16:28 , 31-Мрт-03, (9)
  - max_user_ip, junior, 10:09 , 25-Мрт-03, (5)
  - max_user_ip, junior, 15:54 , 25-Мрт-03, (6)
    - max_user_ip, faq, 02:44 , 28-Мрт-03, (7)
      - max_user_ip, junior, 14:39 , 31-Мрт-03, (8)
        
        max_user_ip, faq, 21:33 , 05-Апр-03, (10)
        
        max_user_ip, ss, 15:08 , 02-Июн-03, (11)
        
        max_user_ip, Николай, 17:03 , 03-Июн-03, (12)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "max_user_ip"

Сообщение от junior on 18-Мрт-03, 15:43  (MSK)

Делай проверку на юзера, его IP, его MAC, его пароль одновременно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "max_user_ip"

Сообщение от faq on 18-Мрт-03, 17:44  (MSK)

>Делай проверку на юзера, его IP, его MAC, его пароль одновременно.
Извини - не понял - растолкуй.
У меня юзеры сидят за любыми тачками , не привязаны к конкретной машине.
Просто некоторые используют чужие логины и пароли. А мне надо это запретить.
Кстати, можно ли узнать какие юзеры (логины) подключены в данный момент к проксе и как отрубить кого-то ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "max_user_ip"

Сообщение от Klinok on 23-Мрт-03, 14:52  (MSK)

Делается без особых проблем!
все верно у тебя, но в начале поставь еще эту строчку:
authenticate_ip_ttl 99 seconds (в общем нужное тебе время)
acl users proxy_auth REQUIRED
acl max max_user_ip -s 1 (-s этот параметр и указывает на строчку ip_ttl)
http_access deny max users
http_access allow users
и теперь если юзер под логином зашел, то другой только по прошествии 99 сукунд сможет зайти под этим же логином, да и то если первый юзер перестал работать и бездействует!
Если что то не понятно...пиши!
помогу, не пожадничаю!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "max_user_ip"

Сообщение от Klinok on 23-Мрт-03, 14:55  (MSK)

сорри! в строчке http_access deny max users
убери users!!!
Должно быть просто: http_access deny max

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "max_user_ip"

Сообщение от alex2000 on 31-Мрт-03, 16:28  (MSK)

>Делается без особых проблем!
>
>все верно у тебя, но в начале поставь еще эту строчку:
>authenticate_ip_ttl 99 seconds (в общем нужное тебе время)
>acl users proxy_auth REQUIRED
>acl max max_user_ip -s 1 (-s этот параметр и указывает на строчку
>ip_ttl)
Кстати у меня Squid ругается на max_user_ip,в какой версии это реализовано.
>http_access deny max users
>http_access allow users
>
>и теперь если юзер под логином зашел, то другой только по прошествии
>99 сукунд сможет зайти под этим же логином, да и то
>если первый юзер перестал работать и бездействует!
>Если что то не понятно...пиши!
>помогу, не пожадничаю!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "max_user_ip"

Сообщение от junior on 25-Мрт-03, 10:09  (MSK)

>Кстати, можно ли узнать какие юзеры (логины) подключены в данный момент к
>проксе и как отрубить кого-то ?
# netstat -ap
или
# lsof -i
Увидишь все активные соединения.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "max_user_ip"

Сообщение от junior on 25-Мрт-03, 15:54  (MSK)

>У меня юзеры сидят за любыми тачками , не привязаны к конкретной
>машине.
>Просто некоторые используют чужие логины и пароли. А мне надо это запретить.
Ничего подобное не поможет.
Чтобы попытаться найти решение, нужно локализовать проблему.
Если твои пользователи (не люблю я это "юзвери" и "юзеры", уважать нужно :) ) воруют сниферами или подсматривают пароли иным способом, то предложеный метод не панацея.
Нужно определить критичный параметр задачи. Что важнее - конфиденциальность или сам факт того, что ты хочешь это сделать?
Есди у тебя идёт учёт трафика и в этом всё дело, то привяжи всех к их рабочим станциям статично, т.е. чтобы работала связка Login/Password + IP + MAC-adress + Твои ограничения на каждого пользователя. Только при ОДНОВРЕМЕННОМ совпадении условий пользователь получает доступ в интернет.
Если проблема не стоит таким образом, т.е. трафик не лимитирован, то вся эта идея теряет смысл.
Если ты планируешь ограничивать пользователей по времени доступа к сети, то также имеет смысл делать связку со статичной привязкой к конкретной рабочей станции. Тогда пользователь сам должен решать, отдавать кому-либо свой логин/пароль или хранить его как зеницу ока.
Ежели у тебя в сетке свирепствуют "сниферята", то локализуй этих бездельников, напиши рапорт начальству, настаивай на покупке фирменного свитча вместо хабов, который будет сам привязывать MAC+IP на свой конкретный порт. Если покупка - проблемная штука (нет денег и т.д.), попроси, чтобы тебе дали старые компы и кучу сетевых карт, создай на их основе маршрутизаторы с функциями свитча (так даже лучше, но дольше :) )
И выдели этих "хацкеров" в этот сегмент сети, жёстко привяжи на каждую сетевуху правило доступа (только с одного конкретного адреса). Можно использовать (если у тебя сервер на базе ядра ветки 2.4) патч для ядра (называется антидот2 :) ))ссылка тут http://securitylab.ru/_tools/antidote2.diff.gz ( не забудь прочесть, как активизируется этот патч ). Тогда сервер сам будет тебе слать письма, если кто-то поменяет связку MAC+IP (проверял сам - всё работает).
В общем, как видишь - способов куча.
Выбор за тобой.
Удачи.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "max_user_ip"

Сообщение от faq on 28-Мрт-03, 02:44  (MSK)

>>У меня юзеры сидят за любыми тачками , не привязаны к конкретной
>>машине.
>>Просто некоторые используют чужие логины и пароли. А мне надо это запретить.
>
>Ничего подобное не поможет.
>Чтобы попытаться найти решение, нужно локализовать проблему.
>Если твои пользователи (не люблю я это "юзвери" и "юзеры", уважать нужно
>:) ) воруют сниферами или подсматривают пароли иным способом, то предложеный
>метод не панацея.
>Нужно определить критичный параметр задачи. Что важнее - конфиденциальность или сам факт
>того, что ты хочешь это сделать?
>Есди у тебя идёт учёт трафика и в этом всё дело, то
>привяжи всех к их рабочим станциям статично, т.е. чтобы работала связка
>Login/Password + IP + MAC-adress + Твои ограничения на каждого пользователя.
>Только при ОДНОВРЕМЕННОМ совпадении условий пользователь получает доступ в интернет.
>Если проблема не стоит таким образом, т.е. трафик не лимитирован, то вся
>эта идея теряет смысл.
>Если ты планируешь ограничивать пользователей по времени доступа к сети, то также
>имеет смысл делать связку со статичной привязкой к конкретной рабочей станции.
>Тогда пользователь сам должен решать, отдавать кому-либо свой логин/пароль или хранить
>его как зеницу ока.
>Ежели у тебя в сетке свирепствуют "сниферята", то локализуй этих бездельников, напиши
>рапорт начальству, настаивай на покупке фирменного свитча вместо хабов, который будет
>сам привязывать MAC+IP на свой конкретный порт. Если покупка - проблемная
>штука (нет денег и т.д.), попроси, чтобы тебе дали старые компы
>и кучу сетевых карт, создай на их основе маршрутизаторы с функциями
>свитча (так даже лучше, но дольше :) )
>И выдели этих "хацкеров" в этот сегмент сети, жёстко привяжи на каждую
>сетевуху правило доступа (только с одного конкретного адреса). Можно использовать (если
>у тебя сервер на базе ядра ветки 2.4) патч для ядра
>(называется антидот2 :) ))ссылка тут http://securitylab.ru/_tools/antidote2.diff.gz ( не забудь прочесть, как
>активизируется этот патч ). Тогда сервер сам будет тебе слать письма,
>если кто-то поменяет связку MAC+IP (проверял сам - всё работает).
>В общем, как видишь - способов куча.
>Выбор за тобой.
>Удачи.
Если я привяжу пользователя к IP и MAC , а он пересядет на другую машину - то он не сможет пользоваться инетом !!!
А у меня пользователей намного больше чем машин и пользователи не привязаны к машинам - каждый садится где свободно !
А необходимо это вот для чего: трафик оганичен, а некоторые умники воруют пароли (социальным методом) и потом сидят под ними и качают (от другого имени).Я потом смотрю в sarg-е что кто-то накачал немерянно - а наказать не могу !!! Короче отпадает смысл контроля кто куда лазит и что качает, а контролировать то надо !

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "max_user_ip"

Сообщение от junior on 31-Мрт-03, 14:39  (MSK)

>Если я привяжу пользователя к IP и MAC , а он пересядет
>на другую машину - то он не сможет пользоваться инетом !!!
>А у меня пользователей намного больше чем машин и пользователи не привязаны
>к машинам - каждый садится где свободно !
>А необходимо это вот для чего: трафик оганичен, а некоторые умники воруют
>пароли (социальным методом) и потом сидят под ними и качают (от
>другого имени).Я потом смотрю в sarg-е что кто-то накачал немерянно -
>а наказать не могу !!! Короче отпадает смысл контроля кто куда
>лазит и что качает, а контролировать то надо !
1. Переводи squid на digital_auth. По крайней мере пароли не будут гулять по сетке в открытом виде (это обезопасит от сниферов).
2. Ужесточи административно-наказательные меры к нарушителям (согласованно с начальством конечно). Объясни, что это бъёт по бюджету компании, тогда тебе будет "зелёная дорога" в этом.
3. Виновных лишай инета на неделю (к примеру)
4. Регулярная смена паролей пользователям. Поясни, что пароль - это как зубная щётка - должен быть личным и ничьим другим.
5. Регулярно проверяй рабочие станции на наличие клавиатурных шпиЁнов. В 90% случаев - пароли снимать ими легче, раз у тебя нет постоянных пользователей+ПК. Если возможно - переведи все Windows компьютеры на NT-технологию, т.е. поставь WindowsNT или Windows2000. Настрой всё администратором, а пользователям создай учётные записи, без права установки програмного обеспечения. Работать можно, а ставить новый софт - нет. Не забудь обновить их все через Windows update, чтобы обезопаситься от использования "хацкерами" дырок в защите.
Вот в принципе основное, что можно сделать. Остальное - твоя фантазия.
Удачи.

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "max_user_ip"

Сообщение от faq on 05-Апр-03, 21:33  (MSK)

Всем привет!
Вернемся снова к нашим баранам.
Все чудесненько работает , но вот появилась проблемка после того как прописал max_user_ip. Теперь при каждом запуске еще одной копии броузера приходится снова вводить пароль !!!
Как это можно побороть ?
Заранее благодарен !!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "max_user_ip"

Сообщение от ss on 02-Июн-03, 15:08  (MSK)

Ну и правильно, так и должно быть
Пусть открывают новое окно из уже запущеного ехплорера.

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "max_user_ip"

Сообщение от Николай on 03-Июн-03, 17:03  (MSK)

Приветствую всех!
Тут шла речь о привязке USER+IP+MAC - как это сделать?! Я так понимаю должно быть сопоставление всех этих параметров! Спасибо.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "max_user_ip"
Сообщение от junior on 18-Мрт-03, 15:43 (MSK)
Делай проверку на юзера, его IP, его MAC, его пароль одновременно.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "max_user_ip"
	Сообщение от faq on 18-Мрт-03, 17:44 (MSK)
	>Делай проверку на юзера, его IP, его MAC, его пароль одновременно. Извини - не понял - растолкуй. У меня юзеры сидят за любыми тачками , не привязаны к конкретной машине. Просто некоторые используют чужие логины и пароли. А мне надо это запретить. Кстати, можно ли узнать какие юзеры (логины) подключены в данный момент к проксе и как отрубить кого-то ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "max_user_ip"
	Сообщение от Klinok on 23-Мрт-03, 14:52 (MSK)
	Делается без особых проблем! все верно у тебя, но в начале поставь еще эту строчку: authenticate_ip_ttl 99 seconds (в общем нужное тебе время) acl users proxy_auth REQUIRED acl max max_user_ip -s 1 (-s этот параметр и указывает на строчку ip_ttl) http_access deny max users http_access allow users и теперь если юзер под логином зашел, то другой только по прошествии 99 сукунд сможет зайти под этим же логином, да и то если первый юзер перестал работать и бездействует! Если что то не понятно...пиши! помогу, не пожадничаю!!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "max_user_ip"
	Сообщение от Klinok on 23-Мрт-03, 14:55 (MSK)
	сорри! в строчке http_access deny max users убери users!!! Должно быть просто: http_access deny max
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "max_user_ip"
	Сообщение от alex2000 on 31-Мрт-03, 16:28 (MSK)
	>Делается без особых проблем! > >все верно у тебя, но в начале поставь еще эту строчку: >authenticate_ip_ttl 99 seconds (в общем нужное тебе время) >acl users proxy_auth REQUIRED >acl max max_user_ip -s 1 (-s этот параметр и указывает на строчку >ip_ttl) Кстати у меня Squid ругается на max_user_ip,в какой версии это реализовано. >http_access deny max users >http_access allow users > >и теперь если юзер под логином зашел, то другой только по прошествии >99 сукунд сможет зайти под этим же логином, да и то >если первый юзер перестал работать и бездействует! >Если что то не понятно...пиши! >помогу, не пожадничаю!!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "max_user_ip"
	Сообщение от junior on 25-Мрт-03, 10:09 (MSK)
	>Кстати, можно ли узнать какие юзеры (логины) подключены в данный момент к >проксе и как отрубить кого-то ? # netstat -ap или # lsof -i Увидишь все активные соединения.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "max_user_ip"
	Сообщение от junior on 25-Мрт-03, 15:54 (MSK)
	>У меня юзеры сидят за любыми тачками , не привязаны к конкретной >машине. >Просто некоторые используют чужие логины и пароли. А мне надо это запретить. Ничего подобное не поможет. Чтобы попытаться найти решение, нужно локализовать проблему. Если твои пользователи (не люблю я это "юзвери" и "юзеры", уважать нужно :) ) воруют сниферами или подсматривают пароли иным способом, то предложеный метод не панацея. Нужно определить критичный параметр задачи. Что важнее - конфиденциальность или сам факт того, что ты хочешь это сделать? Есди у тебя идёт учёт трафика и в этом всё дело, то привяжи всех к их рабочим станциям статично, т.е. чтобы работала связка Login/Password + IP + MAC-adress + Твои ограничения на каждого пользователя. Только при ОДНОВРЕМЕННОМ совпадении условий пользователь получает доступ в интернет. Если проблема не стоит таким образом, т.е. трафик не лимитирован, то вся эта идея теряет смысл. Если ты планируешь ограничивать пользователей по времени доступа к сети, то также имеет смысл делать связку со статичной привязкой к конкретной рабочей станции. Тогда пользователь сам должен решать, отдавать кому-либо свой логин/пароль или хранить его как зеницу ока. Ежели у тебя в сетке свирепствуют "сниферята", то локализуй этих бездельников, напиши рапорт начальству, настаивай на покупке фирменного свитча вместо хабов, который будет сам привязывать MAC+IP на свой конкретный порт. Если покупка - проблемная штука (нет денег и т.д.), попроси, чтобы тебе дали старые компы и кучу сетевых карт, создай на их основе маршрутизаторы с функциями свитча (так даже лучше, но дольше :) ) И выдели этих "хацкеров" в этот сегмент сети, жёстко привяжи на каждую сетевуху правило доступа (только с одного конкретного адреса). Можно использовать (если у тебя сервер на базе ядра ветки 2.4) патч для ядра (называется антидот2 :) ))ссылка тут http://securitylab.ru/_tools/antidote2.diff.gz ( не забудь прочесть, как активизируется этот патч ). Тогда сервер сам будет тебе слать письма, если кто-то поменяет связку MAC+IP (проверял сам - всё работает). В общем, как видишь - способов куча. Выбор за тобой. Удачи.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "max_user_ip"
	Сообщение от faq on 28-Мрт-03, 02:44 (MSK)
	>>У меня юзеры сидят за любыми тачками , не привязаны к конкретной >>машине. >>Просто некоторые используют чужие логины и пароли. А мне надо это запретить. > >Ничего подобное не поможет. >Чтобы попытаться найти решение, нужно локализовать проблему. >Если твои пользователи (не люблю я это "юзвери" и "юзеры", уважать нужно >:) ) воруют сниферами или подсматривают пароли иным способом, то предложеный >метод не панацея. >Нужно определить критичный параметр задачи. Что важнее - конфиденциальность или сам факт >того, что ты хочешь это сделать? >Есди у тебя идёт учёт трафика и в этом всё дело, то >привяжи всех к их рабочим станциям статично, т.е. чтобы работала связка >Login/Password + IP + MAC-adress + Твои ограничения на каждого пользователя. >Только при ОДНОВРЕМЕННОМ совпадении условий пользователь получает доступ в интернет. >Если проблема не стоит таким образом, т.е. трафик не лимитирован, то вся >эта идея теряет смысл. >Если ты планируешь ограничивать пользователей по времени доступа к сети, то также >имеет смысл делать связку со статичной привязкой к конкретной рабочей станции. >Тогда пользователь сам должен решать, отдавать кому-либо свой логин/пароль или хранить >его как зеницу ока. >Ежели у тебя в сетке свирепствуют "сниферята", то локализуй этих бездельников, напиши >рапорт начальству, настаивай на покупке фирменного свитча вместо хабов, который будет >сам привязывать MAC+IP на свой конкретный порт. Если покупка - проблемная >штука (нет денег и т.д.), попроси, чтобы тебе дали старые компы >и кучу сетевых карт, создай на их основе маршрутизаторы с функциями >свитча (так даже лучше, но дольше :) ) >И выдели этих "хацкеров" в этот сегмент сети, жёстко привяжи на каждую >сетевуху правило доступа (только с одного конкретного адреса). Можно использовать (если >у тебя сервер на базе ядра ветки 2.4) патч для ядра >(называется антидот2 :) ))ссылка тут http://securitylab.ru/_tools/antidote2.diff.gz ( не забудь прочесть, как >активизируется этот патч ). Тогда сервер сам будет тебе слать письма, >если кто-то поменяет связку MAC+IP (проверял сам - всё работает). >В общем, как видишь - способов куча. >Выбор за тобой. >Удачи. Если я привяжу пользователя к IP и MAC , а он пересядет на другую машину - то он не сможет пользоваться инетом !!! А у меня пользователей намного больше чем машин и пользователи не привязаны к машинам - каждый садится где свободно ! А необходимо это вот для чего: трафик оганичен, а некоторые умники воруют пароли (социальным методом) и потом сидят под ними и качают (от другого имени).Я потом смотрю в sarg-е что кто-то накачал немерянно - а наказать не могу !!! Короче отпадает смысл контроля кто куда лазит и что качает, а контролировать то надо !
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "max_user_ip"
	Сообщение от junior on 31-Мрт-03, 14:39 (MSK)
	>Если я привяжу пользователя к IP и MAC , а он пересядет >на другую машину - то он не сможет пользоваться инетом !!! >А у меня пользователей намного больше чем машин и пользователи не привязаны >к машинам - каждый садится где свободно ! >А необходимо это вот для чего: трафик оганичен, а некоторые умники воруют >пароли (социальным методом) и потом сидят под ними и качают (от >другого имени).Я потом смотрю в sarg-е что кто-то накачал немерянно - >а наказать не могу !!! Короче отпадает смысл контроля кто куда >лазит и что качает, а контролировать то надо ! 1. Переводи squid на digital_auth. По крайней мере пароли не будут гулять по сетке в открытом виде (это обезопасит от сниферов). 2. Ужесточи административно-наказательные меры к нарушителям (согласованно с начальством конечно). Объясни, что это бъёт по бюджету компании, тогда тебе будет "зелёная дорога" в этом. 3. Виновных лишай инета на неделю (к примеру) 4. Регулярная смена паролей пользователям. Поясни, что пароль - это как зубная щётка - должен быть личным и ничьим другим. 5. Регулярно проверяй рабочие станции на наличие клавиатурных шпиЁнов. В 90% случаев - пароли снимать ими легче, раз у тебя нет постоянных пользователей+ПК. Если возможно - переведи все Windows компьютеры на NT-технологию, т.е. поставь WindowsNT или Windows2000. Настрой всё администратором, а пользователям создай учётные записи, без права установки програмного обеспечения. Работать можно, а ставить новый софт - нет. Не забудь обновить их все через Windows update, чтобы обезопаситься от использования "хацкерами" дырок в защите. Вот в принципе основное, что можно сделать. Остальное - твоя фантазия. Удачи.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "max_user_ip"
	Сообщение от faq on 05-Апр-03, 21:33 (MSK)
	Всем привет! Вернемся снова к нашим баранам. Все чудесненько работает , но вот появилась проблемка после того как прописал max_user_ip. Теперь при каждом запуске еще одной копии броузера приходится снова вводить пароль !!! Как это можно побороть ? Заранее благодарен !!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "max_user_ip"
	Сообщение от ss on 02-Июн-03, 15:08 (MSK)
	Ну и правильно, так и должно быть Пусть открывают новое окно из уже запущеного ехплорера.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "max_user_ip"
	Сообщение от Николай on 03-Июн-03, 17:03 (MSK)
	Приветствую всех! Тут шла речь о привязке USER+IP+MAC - как это сделать?! Я так понимаю должно быть сопоставление всех этих параметров! Спасибо.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх