Hi! Народ, а почему не сделать авторизацию через socks?
20 Декабрь 2001 17:57, Dmitriy Kuznetsov написал: > Осмелюсь предложить кардинальное предложение по приструниванию > огромного кол-ва народа в неполностью "засвитчованной" сети. > У нас сейчас приблизительно такая же ситуация: хотим усилить контроль над > сетью(точнее выходом в инет). Сейчас конфигурация такая 300 юзеров + > Firewall(CBQ+transparent_squid+iptables). На firewall у нас контроль > доступа по IP адресам + permanent arp(но здесь есть один минус - можно > легко перепрошить сетевуху или ifconfig hw ether ...). Поэтому было решено > сделать доступ строго по имени пользователя + password !!!! > (то есть всё равно с какого IP он зашёл, ответственность > будет нести owner login`а). > > Теперь самое интересное как мы это будем делать. > Мы собираемся использовать PPTP(шлюз будет VPN сервером). За каждым > логином будет в VPN резирвироваться IP адрес и подделать его будет > невозможно. То есть человек при желании работать в > интернете нажимает (это конечно для Windows) ярлык на рабочем > столе(ощущения как на DialUP :)))) и подсоединяется к инету:))). > Просто routing отключаем нахрен! > > PPTP(клиент) - удобен, документирован, зашифрован, стабилен (в отличии > от SSH-tunnelling`a через TeraTerm )с пол тычка настраивается и в Windows и > в Linux/*nix, и ваще головной боли с ним ноль! > > После настройки VPN сервера на Gateway`е уровень контроля пользователей > ограничивается только фантазией. > Удачи всем. > > P.S.: очень понравился thread про переводы :)) > "Вам должны установить систему" или "в ответ не приглашение а ....:)))" > LOL полный. > > On Thu, Dec 20, 2001 at 01:32:17PM +0300, [EMAIL PROTECTED] wrote: > > Цитирование "Victor Vislobokov" <[EMAIL PROTECTED]>, > > > > [EMAIL PROTECTED], [email protected]: > > >> Есть сеть и шлюз во внешний мир, на шлюзе стоит > > >> squid , а в сети злобные студенты со сниферами. > > >> Посему охота пускать всех необходимых пользователей сети > > >> в интернет авторизованно через squid по зашифрованному тунелю до > > >> squid'а. Поделитесь опытом, как это сделать? > > > > > > Ну перво наперво squid'у пароль передается не > > >в plain text'е а в mime, поэтому если у студентов > > >мозгов нет, то может и городить ничего не стоит? > > > > К сожалению немного имеется ;) > > > > > Если все-таки стоит, то расскажу как это делал я. > > >Ессно все это очень криво и пошло, но зато работало. > > > > > > 1. Ставишь sshd на сервер со squid'ом > > > 2. Ставишь на виндозу TerraTerm с ssh plugin'ом > > > 3. Настраиваешь браузер на прокси: localhost:3128 > > > 4. Настраиваешь TerraTerm на проборос портов с > > >localhost:3128 на сервер скажем 10128 > > > 5. Настраиваешь на сервере sshd проброс портов > > >с 10128 на 3128 > > > > > > Все. > > > Ессно перед тем как полезть браузером куда-то нужно > > >запустить TerraTerm и зайти на сервер - это первая кака > > > Вторая как в том, что это слегка подтормаживает, а > > >иногда соединение даже рвется (редко но бывает) > > > > Спасибо, способ конечно интересный, но тут есть 2 неудобных момента > > 1. не хочу пускать студентов на сервер > > 2. очень хочется обойтись одной программой(браузером), так как > > попадаются часто истинно бестолковые пользователи, и каждому не объянишь > > что и как под виндой настраивать, а самому бегать на 100 машин > > настраивать нет желания. С браузером несколько проще, я написал > > javascript > > автоматической настройки proxy серверов и пользуюсь на всех машинах им. > > > > Я так понимаю браузеры IE и NN не умеют ходит на прокси по ssl? > > > > Подскажите, пожалуйста, есть ли в squid'е возможность ограничивать > > объем выкачиваемой информации каждым юзером? А если нет , то что > > посоветуете? > > > > Правильно ли я понимаю следующее: > > есть пользователь в squid'е, у него время доступа в инет > > с 15 до 17, в 16.30 он качнул немерянный файл, который притащится > > только через 2 часа, т.е. неукладывается в его временной интервал, > > даст ли squid этот файл дотащить до конца, или оборвет? > > > > Я пробовал проводит этот эксперимент - у меня не обрывал. > > Это у меня кривые руки или это баг? -- Alexander Kogan AutoWave Processes Group Institute of Applied Physics RAS
