LINUX.ORG.RU

Очень нестандартная ситуация :(


0

0

from: xseven@narod.ru Народ! Понимаю, что всех уже этим вопросом задолбали, но у меня нестандартная ситуация :(.
Сконектил одну машинку с инетом. Эта тачка должна выполнять роль Линукс-Терминала, создавать как можно меньший трафик и вести учет по пользователям (а не по ip).
Поставил Squid, настроил кэш, настроил авторизацию ncsa (по пользователям).
Состряпал статистику, кто где был, кто что на сколько насидел.
Теперь одна проблема - нужно чтобы юзверя ВСЕГДА пользовались проксей, а на пряму заходить не могли...
Пробовал prefs.js (все настройки мозиллы, в том числе и проксевые) сделать только для чтения, чтобы настройки юзверя поменять не могли. Но запускаешь браузер, меняешь настройки и все! Можно лазить напрямую, а так низя...
Как это с помощью ip-chains можно сделать???? Перечитал вроде все, что можно, доки, мэны и хавто, ну нигде не нашел похожей ситуации. нужно то всего ничего - чтобы учет трафика велся по http и ftp протоколам...
Заранее благодарен! icq: 92175834. Email:xseven@narod.ru

anonymous

у нас эта проблема решилась с помощью двух сетевух :)

одна в инете, а другая в локалке. роутинг между ними, и squid.

glush
()

Блин админ безопасности я в шоке
слышал что такое фаервол?????????????
перекрой порты

Pilot
()
Ответ на: комментарий от Pilot

xseven@narod.ru >Блин админ безопасности я в шоке >слышал что такое фаервол????????????? >перекрой порты Блин, я же написал - у меня и сервер и клиент в одном флаконе. Если бы был прокся - а к нему цеплялись клиенты, через вторую сетевуху - всё было бы значительно проще, и вопрос бы этот я не задал... А как сделать так, чтобы с места, где стоит клиент+прокся запретить выход в инет браузеру, на выход в инет через проксю разрешить???

anonymous
()

Вы все всё не так поняли, возможно я криво объяснил, но ситуация такова: на ОДНОЙ машине: 213.59.48.21. Стоит ОДНОВРЕМЕННО и клиент (браузер) и сервер (прокся). Повторюсь - на ОДНОЙ машине! Если запретить исходящие пакеты на 80 - прокся тоже работать перестанет!!! Если же редиректить те пакеты с 80 на 3128 получиться.... хм... вот что получсться, если я правильно понимаю: Исходящий на 80 ip редиректит его на 127.0.0.1:3128 3128 отправляет его на 80 порт, который в свою очередь снова идет на 3128 :))) Проблема в том, что исходящий ВСЕГД будет порт 80, хоть у прокси, хоть у браузера...

anonymous
()

freebsd + jail загоняешь squid в jail и разрешаешь выход в инет только с ip jail'a no ya mogu oshibat'sa ya jail ne usal

anonymous
()

похоже не так...
придётся всех юзеров загнать в jail
и потом настраивать файрвол для них
или написать патч к kernel firewall чтобы он мог фильтровать по uid или pid процесса
а может такой файрвол уже есть...

anonymous
()

А нельзя ли с провайдерский сквид у себя как сиблинг настроить, прописать never_direct allow all и открыть в Инет только ICP-порт (3130)? Можно еще с туннелями поиграться...

Druker
()

from xseven@narod.ru: Спасибо всем, проблему уже решил...

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.