forum.lissyara.su

Доброе время суток!
Есть вопрос к профам FreeBSD.

Был долги и мучительный опыт сборки прозрачного прокси squid на freebsd
Получилось только после пересборки ядра.
Но выяснилось что авторизация в squid в прозрачном режиме не возможна.
Из опыта знаю что в freebsd нет слого невозможно.

Какие могут быть алтернативние решения вплоть до другого софта кроме squid.
Может уже есть готовое решение на лиссиаре.
В какую сторону стоит искать.

Вообще прозрачная авторизация возможна.

Вообще прозрачная авторизация возможна.

Это как?

вы определитесь: либо прокси прозрачный, либо авторизация...

А какая разница между freebsd и mikrotik. Тамже есть и прозрачный прокси ( причем именно squid ) и авторизация как хочешь. Как это можно перенести на фри.Я готов потратить на это хоть 3 компа и обоитись без squid-а.
Какие есть решения.

P.S.
У меня стоит Freebsd с прозрачным squid а авторизацию делает микротик. Выстроено линейно, тоесть '

локалка ------ микротик ------ фри ------глобал

Какие минусы у системи?

вы определитесь: либо прокси прозрачный, либо авторизация...

Весь смысл, по крайней мере для меня, состоит в том, чтобы через IPFW заворачивать трафик с 80,21,443 портов на squid ( не хочу бегать прописывать везде прокси) + чтобы пользователь должен был еще и аутентифицироваться, т.к удобно, когда интернет для меня есть на всех компах, а не на прописанных в squid'e.

Вроде сквид может либо быть прозрачным без авторизации, либо наоборот. Чтобы авторизация+прозрачность в скиде это невозможно.

Написать свой браузер, чтобы он по дефолту посылал все запросы на 3128 порт.

Ребята, ну что вы заладили, невозможно, невозможно, а где же гибкость всеми нами любимой фри и непреодолимое желание придумывать изощрённые костыли?
Например такой вариант (для доменного варианта):
1. На компе - шлюзе ставится в довесок самба и интегрируется в домен.
2. У всех пользователей при логоне в систему подключается автоматом какой-либо ресурс с этого шлюза (сетевым диском)
3. Кроном на шлюзе ежеминутно опрашиваются подключенные к самбе пользователи домена и с какого ИП-а конкретный пользователь подключен. (разбор вывода smbstatus)
4. Информация о соответствии IP-USER и текущее время заносится в базу
5. На основе данных о том за каким компом в данный момент, какой сидит пользователь вы своим скриптом формируете список IP'ов которым можно лезть в инет в файл /tmp/access.allow
6. В конфиге прозрачного сквида у вас добавлена опция acl allow src_regex -i /tmp/access.allow (этим ежеминутным кроновым скриптом вы в конце просто заставляете сквид перечитывать конфиг, либо менее накладно создаёте в ipfw отдельную таблицу для тех кому можно в инет и обновляете её в конце кронового скрипта.)
7. Если вам от этой "авторизации" нужен подсчёт трафика прошедшего через прозрачный прокси, то вам надо модифицировать (это думаю не очень сложно) систему которая вам этот трафик считает (sarg например), у него в базе данные по ИП, но у вас на 4-ом шаге в базу дополнительно писалась информация о том за каким ип-ом, какой пользователь в определённое время сидел. Соответствующим образом надо изменить сарговский отчёт. (Думаю можно исхитриться и даже его SQL запрос на формирование отчёта подправить, не залезая в php код. А можно и его запихиватель данных лога в базу подправить, чтобыуже в базу шли пользователи а не ИПы)

В общих чертах думаю вполне рабочая схема, хоть и костыль. Сам не пробовал, но не вижу причин чтобыне работало.

На шлюз ставить samba как-то не хочется, а так может и ничего.

можно не использовать сквид в режиме прозрачного проксирования. А что бы всем не прописывать прокси в ручную есть куча решений, обсуждалось неоднократно.

Как вообще настроить squid, чтобы такие сайты как 2ip.ru и ему подобные не палили все данные, показывает даже внутренний ip машины за прокси-сервером?

А что бы всем не прописывать прокси в ручную есть куча решений, обсуждалось неоднократно.

Подкинь хоть пару ссылок по теме, я не нашел.

вторым процессом на другой порт кальмара вешай и будет тебе и прозрачный и авторизация, правила давно include поддерживают, нареж acl отдельно, авторизацию отдельно и собирай конфиг как тебе надо... что мучить мозг? кэш можно поставить ведомый у любого из двух либо разные кеши - конечно не прикольно, больше склоняюсь к варианту брать кеш от прозрачного....