Пишеш в конфиге acl lamer_ip src 192.168.0.1/255.255.255.255 acl lamer_pass proxy_auth REQUIRED http_access lamer_ip lamer_pass

поправка Пишеш в конфиге

acl lamer_ip src 192.168.0.1/255.255.255.255

acl lamer_pass proxy_auth REQUIRED

http_access allow lamer_ip lamer_pass

http_access deny all

Плюс если скуид скомпилин с поддержкой arp то можеш еще и к макам их привязать - у меня iptables маки проверяет

2 anonymous (*) (13.03.2004 16:22:59):
не будет так работать, точнее будет, но только для ОДНОГО клиента, остальных вообще пускать не будет. Причем пускать будет с 192.168.0.1 под любыми login/password.
По-моему лучше так:
acl lamer1_ip x.x.x.x/32
acl lamer2_ip y.y.y.y/32
...
acl lamer1_name proxy_auth vasya
acl lamer2_name proxy_auth petya
...
http_access allow lamer1_ip lamer1_name
http_access allow lamer2_ip lamer2_name
...
http_access deny all

неа , непроходит , был патч для 2.5 ветки , в файле где храняться пасс и логин было дополнительное поле для IP , но где этот патч я потерял ;(

Причем пускать будет с 192.168.0.1 под любыми login/password

- eto ti sam pridumal? - u menia rabotaet na ura -a po povodu будет, но только для ОДНОГО клиента tak eto ya dumayu i tak yasno.... i osoboy genialnostiu obladat ne nujno chtob dopisat dlya drugih

- Prejde chem chto to oprovergat nugno proverit....

Udalite posl soobshenie ya nepravilno vopros ponya.....

Вот вот , так как описано в ваших примерах этот вопрос не решить ....

Нужно еще раз :

полный доступ для ИП которые я пропишу
полный доступ для ИП+ПАСС
для всех остальных(!!!) кто не прописан сквид должен отдавть страницу DENY а не запрос на пасс .

В этом вся задача и есть - надрючить его так что некоторые ИП были привязаны к пассворду , а все остальные либо ходили либо DENY

Так как поиск на этом сайте ужасный , то походу этот патчик канул в лету :((( А ведь ктото тут его кидал ...

> Вот вот , так как описано в ваших примерах этот вопрос не решить ....
Все запросто решается. Единственное, что писать много придется, если тачек в сети приличное кол-во (каждый ip придется указать в конфиге).
Создается список запрещенных IP:
acl denied_ip src x.x.x.x/32 y.y.y.y/32 ...
(список можно создавать и во внешнем файле)
потом список разрешенных:
acl allowed_ip src a.a.a.a/32 b.b.b.b/32 ...
и наконец список тех, у кого должна быть привязка ip к login-у:
acl user1_ip src n.n.n.n/32
acl user1_name proxy_auth vasya
...
После этого прописываем http_access и все работает:
http_access deny denied_ip
http_access allow allowed_ip
http_access allow user1_ip user1_name
...
http_access deny all
-----
А подобные патчи - это по-моему лишнее. Хотя... вам решать.

как я пропишу denyed IP ? мне придеться весь интернет заденаить . Я пока решил эту проблему через ip_user_check в сквиде 2.5 , оно даже работает , но всеравно - пасс спрашивается у всех , а потом он проверяет ИП , в принципе я своего добился , но хотелось бы что бы он вначале ИП проверил а потом пасс спросил ....

> как я пропишу denyed IP ? мне придеться весь интернет заденаить.
А при чем здесь inet ???????? squid должен оказывать услуги локальной сети или кому ??? Вы вообще знаете кого хотите запретить ?
Надо бы поконкретней писать, а то судя по вашим предыдущим вопросам совсем не видно слова internet.

> хотелось бы что бы он вначале ИП проверил а потом пасс спросил ....
Для этого надо чтоб http_access, содержащий acl типа proxy_auth, находился в squid.conf после http_access, содержащего acl типа src. Как только squid при проверке доступа доходит до http_access с acl-ями типа proxy_auth он сразу запрашивает авторизацию (407 Proxy Authentication Required).

>А при чем здесь inet ???????? squid должен оказывать услуги локальной сети или кому ??? Вы вообще знаете кого хотите запретить ?

знаю ;) всем кому не разрешил ;) - разницу чуствуете ?

я конкретно ваше прлдж не проверял , возможно оно и работает ;) возможно и нет . Но очень думаю что если человек не прописан в DENY по вашему прлдж у него выскочит окно запроса пароля , он его введет и будет юзать PROXY .

при использовании процедуры ip_user_check сквид четко определяет принадлежность LOGIN -> IP , и не прописывая никого в DENY , он попросту выдаст ошибку авторизации при отсутвии совпадения логина с IP .

Re (xz сколько раз): Squid + авторизация и привязка авторизации к IP

> всем кому не разрешил ;) - разницу чуствуете ?
Тогда другой вопрос: а кому вы разрешили ? :-) Уточнять надо :-)
Некоторым ведь (например "всему inet-у") можно и через iptables ... -j DROP запретить.

> я конкретно ваше прлдж не проверял
> Но очень думаю...
Вы бы лучше проверили, а потом говорили :-)
По моему предложению squid будут пользовать те, которые, либо значатся в списке allowed_ip, либо выходят с IP userN_ip под именем userN_name. Все, никому другому squid доступ не даст, причем у allowed_ip (и denied_ip) он даже password не спросит.

> при использовании процедуры ip_user_check
Не спорю. Я всего лишь хотел сказать, что все можно решить и стандартными средствами, что патч не является необходимым.

>> я конкретно ваше прлдж не проверял
>> Но очень думаю...

я имел ввиду что не прописав acl для DENY будет то что я написал ...

на счет иптеблес не спорю - тоже выход , но хотелось бы для начала научить сквид правильно жить ;) у него куча плюсов и возможностей , почему бы их не использовать ;)

>> при использовании процедуры ip_user_check
а ето и не патч , а приблуда ;) и вполне даже работоспособная , вот пример :

auth_param basic program /squid2.5/libexec/ncsa_auth /squid2.5/etc/prl
external_acl_type pr %SRC %LOGIN /squid2.5/libexec/ip_user_check -f /squid2.5/etc/ipcheck
acl user external pr %SRC %LOGIN
acl pass proxy_auth REQUIRED
http_access allow pass user


пользуйтесь ;)