Осмелюсь предложить кардинальное предложение по приструниванию огромного кол-ва народа в неполностью "засвитчованной" сети. У нас сейчас приблизительно такая же ситуация: хотим усилить контроль над сетью(точнее выходом в инет). Сейчас конфигурация такая 300 юзеров + Firewall(CBQ+transparent_squid+iptables). На firewall у нас контроль доступа по IP адресам + permanent arp(но здесь есть один минус - можно легко перепрошить сетевуху или ifconfig hw ether ...). Поэтому было решено сделать доступ строго по имени пользователя + password !!!! (то есть всё равно с какого IP он зашёл, ответственность будет нести owner login`а).
Теперь самое интересное как мы это будем делать. Мы собираемся использовать PPTP(шлюз будет VPN сервером). За каждым логином будет в VPN резирвироваться IP адрес и подделать его будет невозможно. То есть человек при желании работать в интернете нажимает (это конечно для Windows) ярлык на рабочем столе(ощущения как на DialUP :)))) и подсоединяется к инету:))). Просто routing отключаем нахрен! PPTP(клиент) - удобен, документирован, зашифрован, стабилен (в отличии от SSH-tunnelling`a через TeraTerm )с пол тычка настраивается и в Windows и в Linux/*nix, и ваще головной боли с ним ноль! После настройки VPN сервера на Gateway`е уровень контроля пользователей ограничивается только фантазией. Удачи всем. P.S.: очень понравился thread про переводы :)) "Вам должны установить систему" или "в ответ не приглашение а ....:)))" LOL полный. On Thu, Dec 20, 2001 at 01:32:17PM +0300, [EMAIL PROTECTED] wrote: > Цитирование "Victor Vislobokov" <[EMAIL PROTECTED]>, > [EMAIL PROTECTED], debian-russian@lists.debian.org: > >> Есть сеть и шлюз во внешний мир, на шлюзе стоит > >> squid , а в сети злобные студенты со сниферами. > >> Посему охота пускать всех необходимых пользователей сети > >> в интернет авторизованно через squid по зашифрованному тунелю до squid'а. > >> Поделитесь опытом, как это сделать? > > > > Ну перво наперво squid'у пароль передается не > >в plain text'е а в mime, поэтому если у студентов > >мозгов нет, то может и городить ничего не стоит? > > К сожалению немного имеется ;) > > > > > Если все-таки стоит, то расскажу как это делал я. > >Ессно все это очень криво и пошло, но зато работало. > > > > 1. Ставишь sshd на сервер со squid'ом > > 2. Ставишь на виндозу TerraTerm с ssh plugin'ом > > 3. Настраиваешь браузер на прокси: localhost:3128 > > 4. Настраиваешь TerraTerm на проборос портов с > >localhost:3128 на сервер скажем 10128 > > 5. Настраиваешь на сервере sshd проброс портов > >с 10128 на 3128 > > > > Все. > > Ессно перед тем как полезть браузером куда-то нужно > >запустить TerraTerm и зайти на сервер - это первая кака > > Вторая как в том, что это слегка подтормаживает, а > >иногда соединение даже рвется (редко но бывает) > > Спасибо, способ конечно интересный, но тут есть 2 неудобных момента > 1. не хочу пускать студентов на сервер > 2. очень хочется обойтись одной программой(браузером), так как > попадаются часто истинно бестолковые пользователи, и каждому не объянишь > что и как под виндой настраивать, а самому бегать на 100 машин настраивать > нет желания. С браузером несколько проще, я написал javascript > автоматической настройки proxy серверов и пользуюсь на всех машинах им. > > Я так понимаю браузеры IE и NN не умеют ходит на прокси по ssl? > > Подскажите, пожалуйста, есть ли в squid'е возможность ограничивать > объем выкачиваемой информации каждым юзером? А если нет , то что посоветуете? > > Правильно ли я понимаю следующее: > есть пользователь в squid'е, у него время доступа в инет > с 15 до 17, в 16.30 он качнул немерянный файл, который притащится > только через 2 часа, т.е. неукладывается в его временной интервал, > даст ли squid этот файл дотащить до конца, или оборвет? > > Я пробовал проводит этот эксперимент - у меня не обрывал. > Это у меня кривые руки или это баг? > > > -- With Respect Dmitriy Kuznetsov ZAO "Demos-Internet"