мак адресу полный доступ на прокси сервере SQUID

Что вы под этим понимаете?

А так читай документацию пол squid.conf и acl arp.

в линуксе полный 0

наймите системного администратора.

микедм дело говорит, как бы это странно ни звучало, найдите хоть на удалёнку кого-то

В общем до меня еще все было настроено и работает, пользователям закрыт доступ к соц сетям и тому подобному контенту, можно поднять проксю и на винде но на центе уже есть и как по мне это гораздо лучше, начал изучать, директору поставили новый роутер и нужно по маку роутера или толи IP дать ему полный доступ без ограничений, так как на меня давят решил попросить помощи у Вас здесь. Спасибо

Разобрались?

Да нет, надеюсь на Вашу помощь... если это возможно =)

В таком случае нужно видеть конфигурационный файл squid`а. Обычно это /etc/squid/squid.conf. Содержимое файла поместите на pastebin сервис, а ссылку сюда.

Ну и вопрос, вы хоть воспользовались указанным в первом сообщении критерием поиска? Открывали страницу документации и указанный файл?

при попытке открыть получаю вот что: http://pastebin.com/xUMe0wQE возможно я что то не так делаю, по поводу документации, у меня есть распечатка моего конфиига с кое каким описанием, но что с этим делать увы не знаю решил начать изучать и хочу начать с этого.

Есть даже распечатка SQUID для новичков, но там нет того что мне нужно и какой то последовательности, на пример как править ту самую конфигурацию на пример для запрета пользователю доступ по мак адресу делаем следующее : «команда» «мак адрес» итд

Файл нужно открывать в текстовом редакторе

nano /etc/squid/squid.conf

less /etc/squid/squid.conf

Но вам лучше скопировать его на Flah накопитель и затем уже в Windows поместить содержимое файла на pastebin сервис.

mkdir /tmp/usb
mount /dev/sdXY /tmp/usb
cp /etc/squid/squid.conf /tmp/usb
umount /tmp/usb

В официальной документации расписано всё.

Для запрета по mac будет что-то вроде:

acl HOST1 arp aa:bb:cc:dd:ee:ff
http_access deny HOST1

Естественно запись 'http_access deny HOST1' должна быть выше записи, которая разрешает всё для всех ('http_access allow all'), т.к., при обработке конфигурационного файла в случае нахождения правила, которое подходит по критериям под запрос будет использовано первое найденное правило, прочие, расположенные ниже уже обрабатываться не будут.

получил вот такое вот http://pastebin.com/xX3tf4g7

Ну, что могу сказать, видимо не определена переменная окружения PATH.

Как минимум должно быть что-то вроде.

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/opt/bin

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/opt/bin

mount /dev/sdXY /tmp/usb

Вы Linux совсем не знаете? sdXY - это имя устройства, точнее указание диска и раздела на диске. XY нужно заменить на соответствующие значения.

/dev/sda - первый диск в системе;
  /dev/sda1 - первый радел первого диска;
  /dev/sda2 - второй радел первого диска;
/dev/sdb - второй диск в системе;
  /dev/sdb1 - первый радел первого диска;
  /dev/sdb2 - второй радел первого диска;

Определите какое имя блочного устройства раздела подключенного Flash накопителя, ведь вы не забыли его подключить?

Например можете воспользоваться утилитой 'blkid' или посмотреть вывод 'fdisk -l'. Всё это будет работать только после определения переменной PATH, смотрите выше. Ну либо можете пробовать указывать полный путь до утилит, т.е. вместо

mkdir /tmp/usb

/bin/mkdir /tmp/usb

Вывод команды fdisk -l

http://pastebin.com/NpMkpXmh Увы в Linux совсем плохой я кроме user add и passwd ничего не знаю толком. USB накопитель вставлен, вопрос его нужно форматировать под Linux файловую систему или он читает NTFS ?

А где вы там видите NTFS? Вы что даже не в курсе какая файловая система на вашем накопителе?

Диск /dev/sdc: 4009 МБ, 4009754624 байт
255 heads, 63 sectors/track, 487 cylinders
Единицы = цилиндры по 16065 * 512 = 8225280 байт
 
  Устр-во Загр     Начало       Конец       Блоки   Id  Система
/dev/sdc1   *           1         488     3915744+   b  W95 FAT32
Раздел 1 имеет различные физические/логические окончания:
     физ=(486, 254, 63) логич=(487, 125, 22)

Прочитали сообщение про блокировку по mac, я думаю сами разберётесь, как сделать разрешение? Только учитывайте, что правила обрабатываются иерархически. Ну и если всё же сделаете запрос по критерию, указанному в первом сообщении, то увидите, что ответ на ваш вопрос можно легко найти в официальной документации. Но вы, как я понимаю себя не утруждали такими «сложностями».

Прошу прощения нтфс на автомате написал, fat естественно, дело не в том что мне трудно или лень читать инфу просто начальство стоит над головой по этому что бы не тратить много времени сейчас решил спросить у Вас так как на изучение инфы явно уйдет не один час, и напартачить не хочется, теперь все еще запутанней, как правильно применить команду что бы она выполнялась, если Вы говорите что иерархически обрабатываются. Ладно спасибо и на этом большое, побуду один месяц без премии =)))

Получилось скопировать. Спасибо новые познания

Вот конфиг сквида http://pastebin.com/SWsXJ87n

Ладно спасибо и на этом большое, побуду один месяц без премии =)))

Стимул хороший. После него обычно начинают лучше понимать свои должностные обязанности и быстрее учатся читать документацию и понимать её.

явно уйдет не один час, и напартачить не хочется,

Я так и сказал, вы даже не удосужились отправить указанный запрос в google, буквально первые две-три ссылки и ответ у вас в кармане, чтения на пять минут. А вы уже вторые сутки возитесь.

теперь все еще запутанней, как правильно применить команду что бы она выполнялась, если Вы говорите что иерархически обрабатываются

Я уже вам всё написал, вы читать умеете?

kostik87

при обработке конфигурационного файла в случае нахождения правила, которое подходит по критериям под запрос будет использовано первое найденное правило, прочие, расположенные ниже уже обрабатываться не будут.

Вот в этом сообщении: SQUID + Cent OS дать разрешине по MAC (комментарий)

Сходите вот по этой ссылки: Google squid.conf acl arp, буквально первая ссылка.

Раз уж ваш шеф стоит возле вас, то дайте ему почитать эту тему.

acl blacklist url_regex «/etc/squid/blacklist»
http_access deny blacklist

Выше этих строк прописываете определение acl по mac

acl HOST1 arp aa:bb:cc:dd:ee:ff

http_access allow HOST1

Вот сокращённый конфиг: http://bpaste.net/show/210424/, за вычетом комментариев

grep -v "^$\|^#" /tmp/sq  | wgetpaste

Хорошо я буду разбираться,Напишите еще пожалуйста как мне залить назад с заменой конфигурацию с флешки безболезнено? Спасибо за помощь,ну а на счет «Стимул хороший. После него обычно начинают лучше понимать свои должностные обязанности и быстрее учатся читать документацию и понимать её.» Вы перегунули))) у меня з\п 250$ с премией это 2 сервака 113 машин, заправка картриджей, ремонт железа,1С, Смета, Босс-Кадровик итд. и за 3 года не отдела не захотели создать не зп повысить... Сорри за Оффтоп накипело

grep -v «^$\|^#» /tmp/sq | wgetpaste это я так понимаю для получения конфига без коментариев ?

Еще вопрос, у меня на машине полный доступ по мак адресу, почему этого не видно в конфигурации сквида ?

Хорошо я буду разбираться,Напишите еще пожалуйста как мне залить назад с заменой конфигурацию с флешки безболезнено?

Правьте в редакторе, который поддерживает кодировку Linux и конец строки Linux, например Notepad++, ведь у вас Windows. Сохраняйте. И затем обратно копируйте с флешки с заменой файла, смотрите сообщения выше, как монтировать флешку, как копировать. После чего нужно перезапустить squid.

/etc/init.d/squid restart

ls /etc/init.d/

С другой стороны можете отредактировать прямо на сервере, например посредством редактора 'nano', если его нет, то установите:

yum install nano

nano /etc/squid/squid.conf

После внесения изменений в файл нажимаете «ctrl»+«o», затем ввод, после чего «ctrl»+«x» для выхода.

Ну и перезапуск squid опять же, что бы он перечитал свой конфигурационный файл, смотрите выше.

С другой стороны, если задача допускает пускать ПК шефа не через squid, а просто напрямую, без прозрачного прокси, то достаточно перед правилом перенаправления запросов с 80 порта на порт 3128 прокси поставить «ACCEPT» для хоста с определённым MAC ну и естественно убрать указание прокси в браузере, если он жёстко прописан.

Вы уверены, что запросы с вашего ПК заворачиваются на squid?

У вас настроен прозрачный прокси

http_port 3128 transparent

Если у вас на шлюзе настроен NAT, то возможно для вашего ПК не настроено перенаправление на squid, а пакеты идут напрямую через шлюз.

grep -v «^$\|^#» - убрать из входного файла строки, в которых в начале строки (^#) встречается символ комментария (#) и пустые строки (^$).

В /tmp/sq сохранено содержимое squid.conf с pastebin сервиса.

wgetpaste - утилита для загрузки вывода на выбранный pastebin сервис.

У Вас есть ICQ ? если есть возможность немного подостаю Вас?!

я так понимаю еще нужно разобраться в NAT так как несколько мак адресов явно идут не через сквид если они не указаны в конфиге сквида, тогда возникает вопрос как пустить роутер или пк с определненным мак мимо сквида...

iptables-save

И читать вывод.

Вот вывод, что скажите куда глядеть ?

http://bpaste.net/show/n0rkLS4uKOyFQmn0olVT/

На squid заворачиваются только IP адреса из диапазонов 192.168.116.52-192.168.116.62 и 192.168.116.200-192.168.116.206:

-A loc_dnat -p tcp -m iprange --src-range 192.168.116.52-192.168.116.62 -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A loc_dnat -p tcp -m iprange --src-range 192.168.116.200-192.168.116.206 -m tcp --dport 80 -j REDIRECT --to-ports 3128

Адреса из диапазона 192.168.116.40-192.168.116.52 идут напрямую через NAT:

-A eth1_masq -m iprange --src-range 192.168.116.40-192.168.116.52 -j SNAT --to-source 193.189.127.100

Посмотрите сами, ниже так же заворачиваются на squid и другие порты.

Но адреса из диапазона 192.168.116.40-192.168.116.52 идут напрямую в любом случае.

Спасибо огромное Вы мне очень помогли,задал роутеру айпи из диапазона 116.40-116.52 все крутиться без ограничений и вписки прокси в браузер, буду разбираться дальше как и что редактировать и вносить, скажите большая ли сложность сделать так что бы определенный IP на мое усмотрение шел через NAT ?

скажите большая ли сложность сделать так что бы определенный IP на мое усмотрение шел через NAT ?

Как видите нет, достаточно добавить правило для этого IP, разрешающее NAT (SNAT), перед правилами перенаправления на порт прокси (-j REDIRECT --to-ports 3128), ну либо изменить уже существующее правило, например увеличить диапазон.

Но есть один нюанс, судя по вот этим строкам:

-A logdrop -j LOG --log-prefix «Shorewall:logdrop:DROP:» --log-level 6
-A logreject -j LOG --log-prefix «Shorewall:logreject:REJECT:» --log-level 6
-A net2all -j LOG --log-prefix «Shorewall:net2all:DROP:» --log-level 6

А так, как я уже сказал ничего сложного нет.

Хорошо понял, подскажите пожалуйста еще такое, стоит ли на centOS установить оболчку Gnome или KDE смотря что станет и проблемно ли это ? ? для облегчение мне работы ? на пример для правки конфига сквида или иного чего то ?

стоит ли на centOS установить оболчку Gnome или KDE

Особого смысла ставить на сервер графическую оболочку нет. Тем более, если вы хотите просто редактировать текстовые конфигурационные файлы.

Запустите ssh сервер, если он у вас сейчас ещё не запущен и подключайтесь через ssh с windows, ну либо заходите напрямую через консоль. Консольных текстовых редакторов довольно много, например ed, nano. Если вас смущает навигация в файловой системе, то вы можете установить mc (Midnight Commander) - двухпанельный консольный файловый менеджер, имеющий удобный встроенный текстовый редактор. По внешнему виду он напоминает Norton Commander, Volcov Commander, Far, даже можно сказать Total Commander, этого будет вполне достаточно для навигации по файловой системе и внесению изменений в текстовые конфигурационные файлы. Он присутствует в репозитории CentOS, достаточно набрать:

yum install mc
mc

он вроде бы установлен, сейчас провеню, для соединения использую putty

Проверил есть mc

попробую разобраться теперь, попробовал открыть squid.conf теперь нужно понять как его редактировать просмотреть получилось))

Читайте подписи внизу интерфейса mc, там написано какой кнопкой открыть на редактирование, какой сохранить, это не сложно, читать умеют все.

Да да я уже увидел, спасибо

Пометьте тему решённой.