debian.org / О Debian Где взять Debian Поддержка Уголок разработчика Новости Wiki

Автор Тема: запрет доступа к интернет-ресурсам  (Прочитано 1409 раз)

0 Пользователей и 2 Гостей просматривают эту тему.

Оффлайн kotovsky

  • Topic Author
  • Сообщений: 2
запрет доступа к интернет-ресурсам
« : 06 Сентябрь 2011, 12:12:20 »
на шлюзовом компе в iptables стоит правило скидывать запросы по 80 порту в squid, есть список запрещенных ресурсов (контакты, одноклеточные и т.п...). как грамотнее реализовать запрет только конкретным пользователям? то есть одним можно ходить на запрещенные ресурсы, другим нельзя.
 

lisss

  • Гость
Re: запрет доступа к интернет-ресурсам
« Ответ #1 : 06 Сентябрь 2011, 16:00:15 »
1 вариант. Если под пользователем ты имеешь ввиду определенную учетную запись пользователя домена. С прозрачным прокси (это как у тебя сейчас) никак. Никак - это в смысле простым и явным путем никак. Сложным путем - скрипт в автозагрузку у пользователя, который будет сообщать сквиду, на каком компе он залогинился.
2 вариант. Если под пользователем ты имеешь ввиду компьютер, на котором работает определенный пользователь. Тогда по IP (вроде как по маку squid не умеет, но дело давно было). И тут тоже несколько вариантов. Если IP статичные на компах, либо через DHCP выдаются одинаковые - то все просто, если же они в полной мере динамические, то придется скрещивать DHCP со сквидом.


Так что определяйся и пиши, поможем, чем сможем.
 

Оффлайн kotovsky

  • Topic Author
  • Сообщений: 2
Re: запрет доступа к интернет-ресурсам
« Ответ #2 : 07 Сентябрь 2011, 17:19:10 »
под пользователем имею ввиду компьютер, на котором работает определенный пользователь. IP постоянно выдаются одни и те же, так что именно по IP я и хотел "сортировать".
 

lisss

  • Гость
Re: запрет доступа к интернет-ресурсам
« Ответ #3 : 08 Сентябрь 2011, 10:50:41 »
Ну тогда это стандартные ACL. Список запрещенных ресурсов, я так понимаю, ты сам определеяшь? Какая версия squid?
« Последнее редактирование: 08 Сентябрь 2011, 10:55:51 от lisss »
 

Оффлайн Indarien

  • Сообщений: 28
  • Jabber: indarien@jabber.ru
Re: запрет доступа к интернет-ресурсам
« Ответ #4 : 08 Сентябрь 2011, 17:10:41 »
под пользователем имею ввиду компьютер
Это две абсолютно разные сущности. Равно как и IP кстати тоже не имеет никакого отношения к пользователю.

Простой пример с конфигами в файлах
acl group1 src "/etc/squid/group1"
acl group2 src '/etc/squid/group2"
acl domain1 dstdomain -i "/etc/squid/domain1"
acl domain2 dstdomain -i "/etc/squid/domain2"
#  В файлах group1 и group2 перечислены IP или можно сети с маской
#  В файлах domain1 и domain2  домены вида .domain.com
#  Разрешаем доступ группе IP  из group1 к списку доменов domain1, а group2 к списку доменов domain2
http_access allow group1 domain1
http_access allow group2 domain2
« Последнее редактирование: 08 Сентябрь 2011, 17:48:06 от Indarien »
 

Оффлайн gardarea51

  • Сообщений: 633
  • Jabber: gard.area51@jabber.ru
Re: запрет доступа к интернет-ресурсам
« Ответ #5 : 15 Сентябрь 2011, 09:04:54 »
Можете еще попробовать dansguardian, там можно сделать группы пользователей, вот только.. конфигов много и можно перепутаться. Но вообще работает замечатально. =)
 

Теги: