запрет доступа к интернет-ресурсам

Автор kotovsky, 06 сентября 2011, 12:12:20

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

kotovsky

на шлюзовом компе в iptables стоит правило скидывать запросы по 80 порту в squid, есть список запрещенных ресурсов (контакты, одноклеточные и т.п...). как грамотнее реализовать запрет только конкретным пользователям? то есть одним можно ходить на запрещенные ресурсы, другим нельзя.

lisss

1 вариант. Если под пользователем ты имеешь ввиду определенную учетную запись пользователя домена. С прозрачным прокси (это как у тебя сейчас) никак. Никак - это в смысле простым и явным путем никак. Сложным путем - скрипт в автозагрузку у пользователя, который будет сообщать сквиду, на каком компе он залогинился.
2 вариант. Если под пользователем ты имеешь ввиду компьютер, на котором работает определенный пользователь. Тогда по IP (вроде как по маку squid не умеет, но дело давно было). И тут тоже несколько вариантов. Если IP статичные на компах, либо через DHCP выдаются одинаковые - то все просто, если же они в полной мере динамические, то придется скрещивать DHCP со сквидом.


Так что определяйся и пиши, поможем, чем сможем.

kotovsky

под пользователем имею ввиду компьютер, на котором работает определенный пользователь. IP постоянно выдаются одни и те же, так что именно по IP я и хотел "сортировать".

lisss

#3
Ну тогда это стандартные ACL. Список запрещенных ресурсов, я так понимаю, ты сам определеяшь? Какая версия squid?

Indarien

#4
Цитата: kotovsky от 07 сентября 2011, 17:19:10
под пользователем имею ввиду компьютер
Это две абсолютно разные сущности. Равно как и IP кстати тоже не имеет никакого отношения к пользователю.

Простой пример с конфигами в файлах
acl group1 src "/etc/squid/group1"
acl group2 src '/etc/squid/group2"
acl domain1 dstdomain -i "/etc/squid/domain1"
acl domain2 dstdomain -i "/etc/squid/domain2"
#  В файлах group1 и group2 перечислены IP или можно сети с маской
#  В файлах domain1 и domain2  домены вида .domain.com
#  Разрешаем доступ группе IP  из group1 к списку доменов domain1, а group2 к списку доменов domain2
http_access allow group1 domain1
http_access allow group2 domain2

gardarea51

Можете еще попробовать dansguardian, там можно сделать группы пользователей, вот только.. конфигов много и можно перепутаться. Но вообще работает замечатально. =)