Squid доступ в инет!

[torki]

Всем привет!!!
Народ подскажите пожалуйста как мне сделать чтобы у пользователей из локальной сети был разный доступ к инету.

например:
ip1 разрешено только порт 80
все остальное ЗАПРЕЩЕНО!
ip2 разрешено только порт 21, 80
все остальное ЗАПРЕЩЕНО!
ip3 разрешено только порт 21, 80, 443
ну а всем остальным deny all

а-то получается или все или ничего

зараннее СПАСИБО!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

Конфиг покажи, телепаты вымерли.. :-)

[zorg]

http://www.lissyara.su/?id=1127
самое то решение!!! читай!!!

[torki]

Всем привет!!!
дело не в конфиге, интересует сама концепция и примеры, что-бы потом самому попробовать додуматся. а статья очень интересная, спасибо, такой штукой я уже пользуюсь, а как-же быть с squid-ом? Может ли squid делать такие вещи как разграничение прав доступа?

[zorg]

я же тебе написал, кто может, сквид толькопо http разруливать будет, ты им не запретишь 25 порт и все остальные!!! ТО что я тебе дал ссылку на статью Лиса и есть самое оптимальное решение, разрулишь все ка кнужно.
З.Ы.: с помощь сквида ты можешь тока разрулить кому инет разрешён кому нет, какие сраницы мона посещать какие нет. Почитай что есть сквид, это эж прокси сервер.

[torki]

Всем привет!!!
Вроде понял, squid-ом предоставляем совместный доступ в инет - правильно?
А ipfw режим доступ по портам через локальную сетевуху - правильно?
Для dikens3, спасибо за конфиг в понедельник буду пробовать и отпишусь.

[northern]

Всем привет!!!
Вроде понял, squid-ом предоставляем совместный доступ в инет - правильно?
А ipfw режим доступ по портам через локальную сетевуху - правильно?
Для dikens3, спасибо за конфиг в понедельник буду пробовать и отпишусь.

Рекомендую для начала более детально изучить следующие вопросы:
1. основы сети (сетевые протоколы, порты и т.д.)
2. файервол
3. прокси-сервера
тогда такого рода вопросы отпадут сами.

[zorg]

Всем привет!!!
Вроде понял, squid-ом предоставляем совместный доступ в инет - правильно?
А ipfw режим доступ по портам через локальную сетевуху - правильно?
Для dikens3, спасибо за конфиг в понедельник буду пробовать и отпишусь.

Рекомендую для начала более детально изучить следующие вопросы:
1. основы сети (сетевые протоколы, порты и т.д.)
2. файервол
3. прокси-сервера
тогда такого рода вопросы отпадут сами.

Это точно!! НО я вот блин до сих пор до конца книжку по протоколам изучить не могу. всё времени не хватает. Вот часто и приходится тупить но ни чё мож ещё успею!

[Urgor]

я же тебе написал, кто может, сквид толькопо http разруливать будет, ты им не запретишь 25 порт и все остальные!!!

Шо, таки правда? Фанблинтастика!

Acl Type: port

Description
Access can be controlled by destination (server) port addressUsage acl aclname port port-no

Example
This example allows http_access only to the destination 172.16.1.115:80 from network 172.16.1.0

acl acceleratedhost dst 172.16.1.115/255.255.255.255
acl acceleratedport port 80
acl mynet src 172.16.1.0/255.255.255.0
http_access allow acceleratedhost acceleratedport mynet
http_access deny all

http://www.visolve.com/squid/squid24s1/ ... ls.php#acl

[zorg]

я же тебе написал, кто может, сквид толькопо http разруливать будет, ты им не запретишь 25 порт и все остальные!!!

Шо, таки правда? Фанблинтастика!

Acl Type: port

Description
Access can be controlled by destination (server) port addressUsage acl aclname port port-no

Example
This example allows http_access only to the destination 172.16.1.115:80 from network 172.16.1.0

acl acceleratedhost dst 172.16.1.115/255.255.255.255
acl acceleratedport port 80
acl mynet src 172.16.1.0/255.255.255.0
http_access allow acceleratedhost acceleratedport mynet
http_access deny all

http://www.visolve.com/squid/squid24s1/ ... ls.php#acl

ни хрена не понял!!! Это ты к чему??? Я говорил о портах, а не о сетях!

[Urgor]

Я говорил о портах, а не о сетях!

А я об чем? Слово 'port' при создании ACLя говорит что этот ACL относится к типу портов. Прочти внимательно пример, если его немного изменить, то будет именно то что просили в первом вопросе.

[zorg]

Думаю это всё равно не то!!
Посмотри сам, какие запросы обслуживает скивид, он что обслуживает почту??
нет и думаю не будет,
Хотя может если заворачивать тем же фаером почтовый трафик на сквид и дальше рулить этими асээлами, но подумай как всё это будет тормозить, проще реализовать через фаер, да и надёжнее.

[Urgor]

Мдя. Ну когда же отвечая на вопрос люди сначала будут читать этот самый вопрос????!

ip1 разрешено только порт 80
все остальное ЗАПРЕЩЕНО!
ip2 разрешено только порт 21, 80
все остальное ЗАПРЕЩЕНО!
ip3 разрешено только порт 21, 80, 443
ну а всем остальным deny all

Ткни пальцем где тут говорится про почту! А 21,80, 443 действительно идут через сквид. И если у тебя 80й открыт, то хоть ты обфаерволься, но поиметь все остальные сервисы сквида довольно просто (если в самом сквиде они не закрыты).

[zorg]

to Urgor:

ДА виноват, со слепу то 21 за 25 принял!
получается что под "все остальное" подразумевалось тока эти службы??? ТОгда да соглашусь с тобой
А вот интересно много ли даёт экономии и прироста в скорсоти работы использование кэширующего прокси??
Потому как смотрел я на Виндах такую статистику дык что-то около 4% от общего объёма это же фигня!!!

[dikens3]

to Urgor:
Потому как смотрел я на Виндах такую статистику дык что-то около 4% от общего объёма это же фигня!!!

Со скоростью не думаю что вообще что-то даёт. Разве что за счёт кэша, иногда. :-)
А траффик с 7Gb у меня к примеру около 700Мб. экономия - 10%, смотря куда у тебя пользователи ходят.

[zorg]

ну у мен ятраф на одном 50 Гб, а на другом 5 Мб неграниченного, так что тут пофигу, тогда вопрос безопасности: по идее если лишнее звено то наоборот есть где накосячить, значит типа со сквидом тока хуже, или нет??? Какие мнения???

[dikens3]

ну у мен ятраф на одном 50 Гб, а на другом 5 Мб неграниченного, так что тут пофигу, тогда вопрос безопасности: по идее если лишнее звено то наоборот есть где накосячить, значит типа со сквидом тока хуже, или нет??? Какие мнения???

Да как тебе сказать, у меня прозрачно squid стоит, к примеру такая вот ссылка не работает:
http://r.mail.ru/n4911244
Это минус. Но достаточно гибкое управление контролем доступа squid прекрасно обеспечивает, баннеры вырезает и т.п. Плюс добавь удобочитаемые логи а не IP-Адреса и количество байт, пакетов.

Squid есть, был и будет, при нормальной настройке всё будет путём.

P.S. У меня пользователи могут посещать WEB-MAIL'ы, но войти не могут. method POST прибит по этим доменам. Попутно прикрыты многие Анонимные WEB-Сервера и закрыт 443 порт напрочь.

И вообще, как ты собираешься потом собирать статистику? Ведь не все IP-Адреса резолвятся назад?

[northern]

Мдя. Ну когда же отвечая на вопрос люди сначала будут читать этот самый вопрос????!

ip1 разрешено только порт 80
все остальное ЗАПРЕЩЕНО!
ip2 разрешено только порт 21, 80
все остальное ЗАПРЕЩЕНО!
ip3 разрешено только порт 21, 80, 443
ну а всем остальным deny all

Ткни пальцем где тут говорится про почту! А 21,80, 443 действительно идут через сквид. И если у тебя 80й открыт, то хоть ты обфаерволься, но поиметь все остальные сервисы сквида довольно просто (если в самом сквиде они не закрыты).

ты хочешь сказать ftp будет через сквид работать?

[Urgor]

IE -> Tools -> Internet Options -> Connections -> LAN Settings -> Advanced -> поставить галку на Use the same proxy server for all protocols

[zorg]

to dikens3

Да у меня он стоит тоже и тоже всё прикрыто, и статистика собирается ещё и сарж прикручен до кучи
Интересно просто, кто как думает - "а нафига он нужен! "
Чего и говорит вещь полезная!

[torki]

Всем привет!!!
Дааа ребята далеко зашли! Вобщем споры всегда интересны, как говорится в них рождается истина! Я в свою очередь увидел много интересного, за что огромное Вам Всем спасибо!!!!! А теперь вопрос такого рода !
канал 1 64к (неограниченый) наверное для почты
канал 2 до 2-х мегабит (трафик) для общего пользования интернет!
канал 3 512к (неограниченый) VPN входящее соединение
Это все на одной машине!
Ну и чем это все разруливать?
Есть идеи?

[Alex Keda]

man ipfw?
man route?

[torki]

Я примерно так и думал.
А если один из каналов перестает работать по вине провайдера?
То наверное скрипт малевать прийдётся для переключения каналов?

[zorg]

ДА так и есть!

[torki]

Всем привет!!!
Большущее ВСЕМ СПАСИБО!!!!!!!
Долее вероятно будет проблема с настройкой почтовика!!
Не удевляйтесь, ведь я Чайник во фрях самый настоящий, хоть и ржавый уже (мне 35)
Ну надоели мне эти уиндоусы аж не могу(Уиндоус не может быть сервером!). А принцип учиться некогда не поздно срабатывает как команда reboot! Зараннее извиняюсь за глупые вопросы. Еще раз Всем Огромное Спасибо!!!!
До встречи на форуме!