Stargazer & Squid

[Stiff 0]

Юзеры выходят в инет через сквид, на сквиде происходит авторизация (открытым текстом) по аккаунту из старгейзера. Ну и соответственно стг считает трафик и тарифицирует его.

Возможна ли такая конфигурация? Если у кого-нибудь есть наработки по этому поводу, большая просьба привести примеры конфигов.

Цель всего этого - безболезненно для пользователей убить трафик инспектор.

[fernir 0]

Юзеры выходят в инет через сквид, на сквиде происходит авторизация (открытым текстом) по аккаунту из старгейзера. Ну и соответственно стг считает трафик и тарифицирует его.

Возможна ли такая конфигурация? Если у кого-нибудь есть наработки по этому поводу, большая просьба привести примеры конфигов.

Цель всего этого - безболезненно для пользователей убить трафик инспектор.

Ну... нужно слепить авторизатор для сквида. Авторизатор выглядит как висящий процесс, которому время от времени кидают логин и пароль в stdin. Он должен ответить OK или ERR.

 

gate squid # cat auth.sh

#!/bin/bash

## Авторизатор squid на БД stargazer'а

PrintBases () {

./stga.sh $line

}

 

if [ $# -gt 0 ]

then

PrintBases "$@"

else # чтение со stdin

while read line

do

PrintBases $line

done

fi

gate squid # cat stga.sh

#!/bin/bash

LOGIN=$1

PASSW=$2

 

ANSW='ERR'

 

DBS=`cat /var/stargazer/users/$LOGIN/conf`

for b in $DBS ;

do

if [ "$b" = "Password=$2" ];

then ANSW="OK"

fi

done

 

echo $ANSW

 

auth представить сквиду в качестве авторизатора. Это еще на текстовую БД, на мускул лучше переписать на перле.

[Alferov 0]

Вроде squid по radius-протоколу умеет общаться. Ставь модуль vpn (raduis) и прикручивай авторизацию из squid-а к нему.

[Stiff 0]

Насчёт радиуса очень интересно :-) модуль vpn я уже прикрутил.

А умеет ли сквид считать трафик и передавать его по radius?

[Stiff 0]

Прикрутил к сквиду радиус. Теперь пользователей авторизует нормально, но не переводит их в состояние "онлайн". Соответственно и трафик считает только если выставить пользователю флажок "всегда онлайн"

Что можно сделать? не хочу, чтоб у меня все юзеры были "всегда онлайн"

[DoS 0]

когда активируется впн сессия, то должен исполняться какойто скрипт, типа if-up.sh, в такой скрипт можно прописать так, чтоб отсылался через sgconf на выставление - всегда онлайн, когда if-down то галочку убирать с онлайна

 

костыли, но зато рабочие )

[Stiff 0]

когда активируется впн сессия, то должен исполняться какойто скрипт, типа if-up.sh, в такой скрипт можно прописать так, чтоб отсылался через sgconf на выставление - всегда онлайн, когда if-down то галочку убирать с онлайна

 

костыли, но зато рабочие )

Тема вообще-то про сквид и старгейзер. И Radius != VPN. С ВПН-то как раз всё работает нормально.

но идея с выставлением всегда онлайн хорошая, надо будет попробовать

[aksel 0]

У меня вот какая связка stg+squid+squidGuard

авторизует СТГ

после авторизации в фаер пишутся вот такие правила

fwd 127.0.0.1,3128 ip from 192.168.5.124 to any dst-port 80 keep-state
allow ip from 192.168.5.124 to any dst-port 443,5190 keep-state

т.е. сквид прозрачный

сам по себе сквид не видит имен пользователей

а вот Гуард как раз видит имена зверей которые прописанны в СТГ

в конфиге гуарда можно указывать не только IP клиентских машин но и список таких ИП

таким образом при каждом конекте клиента в определенный файл пишется текущий IP клиента, т.е. на одного пользователя 1 файл, и как раз Гуард считывает этоти файлы и уже сам определяет что IP в этом файле нужно дать или запретить доступ на определынные сайты ...

При дисконекте файл затирается и гуард естественно отрубает доступ...

Удобство в том что Гуард управляет доступом не на уровне IP клиентов а на уровне имен пользователей СТГ, а сквид просто кеширует и делает статистику по УРЛ

Не удобно то что нужно ручками все прописывать в конфиге гуарда.....

[aksel 0]

У меня вот какая связка stg+squid+squidGuard

авторизует СТГ

после авторизации в фаер пишутся вот такие правила

fwd 127.0.0.1,3128 ip from 192.168.5.124 to any dst-port 80 keep-state
allow ip from 192.168.5.124 to any dst-port 443,5190 keep-state

т.е. сквид прозрачный

сам по себе сквид не видит имен пользователей

а вот Гуард как раз видит имена зверей которые прописанны в СТГ

в конфиге гуарда можно указывать не только IP клиентских машин но и список таких ИП

таким образом при каждом конекте клиента в определенный файл пишется текущий IP клиента, т.е. на одного пользователя 1 файл, и как раз Гуард считывает этоти файлы и уже сам определяет что IP в этом файле нужно дать или запретить доступ на определынные сайты ...

При дисконекте файл затирается и гуард естественно отрубает доступ...

Удобство в том что Гуард управляет доступом не на уровне IP клиентов а на уровне имен пользователей СТГ, а сквид просто кеширует и делает статистику по УРЛ

Не удобно то что нужно ручками все прописывать в конфиге гуарда.....

[Dim-on-yga 0]

помогите подалуйста, у меня проблема следующего характера:

поднял сквид в транспарент, всё прекрасно работает, но!

как сделать чтобы сквид непускал всех и вся ?

и у меня есть безлимитные тарифы, когда завожу сквид - все лимиты на трафик по 80-му потру рушаться.

в сквиде прописано

 acl localnet srс 192.168.14.0/24

впринципе список разрешонных я могу сделать, теоретически придумал, дело за реализацией, но вот как сделать ограничение скорости ?

посредствам самого сквида - неподходит, так как будет идти по 80 и всем остальным портам в разные потоки, что не айс.

посредствам файревола в цепочке INPUT у меня отказалось работать

кстати по поводу списка резрешения для сквида

squid.conf

acl localnet srс /utils/squid/var/access.list

OnConnect

mysql -Dstg -ustg -pstg -e"INSERT INTO users_online VALUE ('$IP')"
./squid

OnDisconnect

mysql -Dstg -ustg -pstg -e"DELETE FROM users_online WHERE ip='$IP'"
./squid

squid

ещё доконца себе непредставляю, но он будет брать IP из таблицы users_online и загонять их в файлик /utils/squid/var/access.list ну и squid -k reconfigure

надеюсь комунить поможет, и очень бы хотелось выслушать мнения по поводу резанья скорости.

система: ASPLinux 12

iptables

[Neelix 33]

delay для этого есть

[Stiff 0]

2Dim-on-yga

Если у вас безлимиты, то гораздо удобнее поднять сервер VPN и шейпить уже pppx-интерфейсы.

[Dim-on-yga 0]

delay для этого есть

посредствам самого сквида - неподходит, так как будет идти по 80 и всем остальным портам в разные потоки, что не айс.

а использовать VPN мне какбы оно несовсем удобно, просто у меня есть люди которые конектяться к серваку внутри pptp соединения, от этого нужно делать разные сервера, ччтобы для одних MTU было одно, а для других другое.

переделать сеть - невариант, потомучто на это тупо нехватит денег.

[Neelix 33]

чето ты намудрил с MTU.

Миктротик тебя спасет.