Перейти до

Stargazer & Squid

Stiff

Від Stiff
в Питання по Stargazer

 Share

Рекомендованные сообщения

Stiff Пролетал Мимо

Stiff

Опубликовано:
Опубликовано:

Юзеры выходят в инет через сквид, на сквиде происходит авторизация (открытым текстом) по аккаунту из старгейзера. Ну и соответственно стг считает трафик и тарифицирует его.

Возможна ли такая конфигурация? Если у кого-нибудь есть наработки по этому поводу, большая просьба привести примеры конфигов.

Цель всего этого - безболезненно для пользователей убить трафик инспектор.

fernir Пролетал Мимо

fernir

Опубліковано:
Опубліковано:
Юзеры выходят в инет через сквид, на сквиде происходит авторизация (открытым текстом) по аккаунту из старгейзера. Ну и соответственно стг считает трафик и тарифицирует его.

Возможна ли такая конфигурация? Если у кого-нибудь есть наработки по этому поводу, большая просьба привести примеры конфигов.

Цель всего этого - безболезненно для пользователей убить трафик инспектор.

Ну... нужно слепить авторизатор для сквида. Авторизатор выглядит как висящий процесс, которому время от времени кидают логин и пароль в stdin. Он должен ответить OK или ERR.

 

gate squid # cat auth.sh

#!/bin/bash

## Авторизатор squid на БД stargazer'а

PrintBases () {

./stga.sh $line

}

 

if [ $# -gt 0 ]

then

PrintBases "$@"

else # чтение со stdin

while read line

do

PrintBases $line

done

fi

gate squid # cat stga.sh

#!/bin/bash

LOGIN=$1

PASSW=$2

 

ANSW='ERR'

 

DBS=`cat /var/stargazer/users/$LOGIN/conf`

for b in $DBS ;

do

if [ "$b" = "Password=$2" ];

then ANSW="OK"

fi

done

 

echo $ANSW

 

auth представить сквиду в качестве авторизатора. Это еще на текстовую БД, на мускул лучше переписать на перле.

Stiff Пролетал Мимо

Stiff

Опубліковано:
  • Автор
Опубліковано:

Насчёт радиуса очень интересно :-) модуль vpn я уже прикрутил.

А умеет ли сквид считать трафик и передавать его по radius?

Stiff Пролетал Мимо

Stiff

Опубліковано:
  • Автор
Опубліковано:

Прикрутил к сквиду радиус. Теперь пользователей авторизует нормально, но не переводит их в состояние "онлайн". Соответственно и трафик считает только если выставить пользователю флажок "всегда онлайн"

Что можно сделать? не хочу, чтоб у меня все юзеры были "всегда онлайн" :)

  • 3 weeks later...
DoS Пролетал Мимо

DoS

Опубліковано:
Опубліковано:

когда активируется впн сессия, то должен исполняться какойто скрипт, типа if-up.sh, в такой скрипт можно прописать так, чтоб отсылался через sgconf на выставление - всегда онлайн, когда if-down то галочку убирать с онлайна

 

костыли, но зато рабочие )

Stiff Пролетал Мимо

Stiff

Опубліковано:
  • Автор
Опубліковано:
когда активируется впн сессия, то должен исполняться какойто скрипт, типа if-up.sh, в такой скрипт можно прописать так, чтоб отсылался через sgconf на выставление - всегда онлайн, когда if-down то галочку убирать с онлайна

 

костыли, но зато рабочие )

Тема вообще-то про сквид и старгейзер. И Radius != VPN. С ВПН-то как раз всё работает нормально.

но идея с выставлением всегда онлайн хорошая, надо будет попробовать :(

aksel Первая Кровь

aksel

Опубліковано:
Опубліковано:

У меня вот какая связка stg+squid+squidGuard

авторизует СТГ

после авторизации в фаер пишутся вот такие правила

fwd 127.0.0.1,3128 ip from 192.168.5.124 to any dst-port 80 keep-state
allow ip from 192.168.5.124 to any dst-port 443,5190 keep-state

т.е. сквид прозрачный

сам по себе сквид не видит имен пользователей

а вот Гуард как раз видит имена зверей которые прописанны в СТГ

в конфиге гуарда можно указывать не только IP клиентских машин но и список таких ИП

таким образом при каждом конекте клиента в определенный файл пишется текущий IP клиента, т.е. на одного пользователя 1 файл, и как раз Гуард считывает этоти файлы и уже сам определяет что IP в этом файле нужно дать или запретить доступ на определынные сайты ...

При дисконекте файл затирается и гуард естественно отрубает доступ...

Удобство в том что Гуард управляет доступом не на уровне IP клиентов а на уровне имен пользователей СТГ, а сквид просто кеширует и делает статистику по УРЛ

Не удобно то что нужно ручками все прописывать в конфиге гуарда.....

aksel Первая Кровь

aksel

Опубліковано:
Опубліковано:

У меня вот какая связка stg+squid+squidGuard

авторизует СТГ

после авторизации в фаер пишутся вот такие правила

fwd 127.0.0.1,3128 ip from 192.168.5.124 to any dst-port 80 keep-state
allow ip from 192.168.5.124 to any dst-port 443,5190 keep-state

т.е. сквид прозрачный

сам по себе сквид не видит имен пользователей

а вот Гуард как раз видит имена зверей которые прописанны в СТГ

в конфиге гуарда можно указывать не только IP клиентских машин но и список таких ИП

таким образом при каждом конекте клиента в определенный файл пишется текущий IP клиента, т.е. на одного пользователя 1 файл, и как раз Гуард считывает этоти файлы и уже сам определяет что IP в этом файле нужно дать или запретить доступ на определынные сайты ...

При дисконекте файл затирается и гуард естественно отрубает доступ...

Удобство в том что Гуард управляет доступом не на уровне IP клиентов а на уровне имен пользователей СТГ, а сквид просто кеширует и делает статистику по УРЛ

Не удобно то что нужно ручками все прописывать в конфиге гуарда.....

Dim-on-yga Пролетал Мимо

Dim-on-yga

Опубліковано:
Опубліковано:

помогите подалуйста, у меня проблема следующего характера:

поднял сквид в транспарент, всё прекрасно работает, но!

как сделать чтобы сквид непускал всех и вся ?

и у меня есть безлимитные тарифы, когда завожу сквид - все лимиты на трафик по 80-му потру рушаться.

в сквиде прописано 

 acl localnet srс 192.168.14.0/24

впринципе список разрешонных я могу сделать, теоретически придумал, дело за реализацией, но вот как сделать ограничение скорости ?

посредствам самого сквида - неподходит, так как будет идти по 80 и всем остальным портам в разные потоки, что не айс.

посредствам файревола в цепочке INPUT у меня отказалось работать :)

кстати по поводу списка резрешения для сквида

squid.conf

acl localnet srс /utils/squid/var/access.list

OnConnect

mysql -Dstg -ustg -pstg -e"INSERT INTO users_online VALUE ('$IP')"
./squid

OnDisconnect

mysql -Dstg -ustg -pstg -e"DELETE FROM users_online WHERE ip='$IP'"
./squid

squid

ещё доконца себе непредставляю, но он будет брать IP из таблицы users_online и загонять их в файлик /utils/squid/var/access.list ну и squid -k reconfigure

надеюсь комунить поможет, и очень бы хотелось выслушать мнения по поводу резанья скорости.

система: ASPLinux 12

iptables

Dim-on-yga Пролетал Мимо

Dim-on-yga

Опубліковано:
Опубліковано:
delay для этого есть
посредствам самого сквида - неподходит, так как будет идти по 80 и всем остальным портам в разные потоки, что не айс.

а использовать VPN мне какбы оно несовсем удобно, просто у меня есть люди которые конектяться к серваку внутри pptp соединения, от этого нужно делать разные сервера, ччтобы для одних MTU было одно, а для других другое.

переделать сеть - невариант, потомучто на это тупо нехватит денег.

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    • Немає користувачів, що переглядають цю сторінку.
×
×
  • Створити нове...