squid autenticado - atrelar usuario ao ip [RESOLVIDO]

1. squid autenticado - atrelar usuario ao ip [RESOLVIDO]

Fernando Cesar Vaini
vaini

(usa Debian)

Enviado em 22/01/2010 - 18:38h

Tenho em uma empresa um servidor rodando samba, squid autenticado (smb_auth) e firewall

preciso liberar um pc que será usado na hora do almoço para pesquisas, leitura de emails pessoais dos funcionarios, etc. quero amarrar o usuario almoco ao ip 192.168.0.40 para que esse usuario não navegue fora dessa maquina.

e mesmo que algum funcionario usar este usuario em outro pc no horario do almoço, o squid nao deverá liberar a navegação.

Aguardo ajuda, e obrigado desde já.


  


2. MELHOR RESPOSTA

Sérgio de Souza
sergito

(usa Debian)

Enviado em 23/01/2010 - 11:45h

essa foi por desafio msm heim.. fiquei pensando uma minutos aqui e resolvi tentar,,

fiz os testes agora aqui, vc faz o seguinte:
cria uma acl no qual aponta o usuário que tem acesso livre e outra logo em seguida apontando o ip da máquina:
ex:
acl almoco proxy_auth "/etc/squid/regras/usuario_almoco"
acl almoco_ip src 192.168.10.20

dai abaixo vc cria o http_acces:
http_access allow almoco_ip almoco

Ele só vai liberar para o usuário e o ip específico(192.168.10.20), caso o usuário não esteja especificado no arquivo "usuario_almoco" ele não libera. Fiz os testes aqui agora.
Muito boa pergunta!
Dai para vc liberar no horário específico é suave néé, eu sei que vc manja fazer isso! ;)
Tem que ter cuidado onde vc joga essa regra, tem que colocar ela antes das acl que vc ja tem inclusas, se não ele vai bloquear e nd vai da certo.

[]'s Sergito
blog: http://www.layer8howto.net


3. Re: squid autenticado - atrelar usuario ao ip [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 23/01/2010 - 10:29h

Em vez d vc atrelar ao IP, pq vc não atrela ao MAC? Pq por IP, basta ele ir em outra máquina e colocar o IP dessa máquina q ele terá acesso. Crie a acl:

acl maquina1 arp mac-address xx:xx:xx:xx:xx:xx

E depois vc coloca esta regra (antes d deny):

http_access allow maquina1 redetal

Eu não sei como tá o seu squid.conf, pois a ordem do acesso influencia (e muito!).


4. Re: squid autenticado - atrelar usuario ao ip [RESOLVIDO]

Fernando Cesar Vaini
vaini

(usa Debian)

Enviado em 23/01/2010 - 10:48h

eu até pensei em fazer pelo mac, mas a questão é que eles mudam muito de maquina.



5. Re: squid autenticado - atrelar usuario ao ip [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 23/01/2010 - 10:51h

Mas é mais d uma pessoa q vai usar a conta? A máquina num deve ser sempre a msm? Então não tem outra forma melhor do q essa q propus.


6. Re: squid autenticado - atrelar usuario ao ip [RESOLVIDO]

Fernando Cesar Vaini
vaini

(usa Debian)

Enviado em 23/01/2010 - 11:18h

Renato, na verdade sim. todos os funcionarios da empresa usarao esse pc. Porém a navegação sem restrições só será liberada na hora do almoço, e somente para o usuario almoco (que todos os funcionarios saberão usuario = almoco, senha = almoco). O detalhe é que o usuario almoço só poderá se logar nesse pc, senão os usuarios poderão logar de seus terminais usando este usuario e navegar geral..entendeu??

em todo o caso, vou testar sua sugestão.
obrigado pela ajuda por enquanto.


7. outraa

Sérgio de Souza
sergito

(usa Debian)

Enviado em 23/01/2010 - 11:53h

pra ficar mais pesado o esquema, vc pode atribuir números max de conexões.
ficando assim ex:
acl almoco3 src 192.168.10.0/24
acl con maxconn 1
http_access allow almoco_ip almoco << acl do post anterior
http_access deny con almoco3

dai vc limita que quando o primeiro logar na maq do almoço e outros tentarem logar em outra máquina com o IP spoofado (192.168.10.20) não conseguirão, pois o squid estabeleceu somente 1 conexão com o usuário para a rede.

show!!

[]'s Sergito
blog: http://www.layer8howto.net


8. Re: squid autenticado - atrelar usuario ao ip [RESOLVIDO]

Fernando Cesar Vaini
vaini

(usa Debian)

Enviado em 23/01/2010 - 14:05h

sergito, por enquanto obrigado. vou os testes aqui e posto o resultado.

novamente obrigado


9. Re: squid autenticado - atrelar usuario ao ip [RESOLVIDO]

Fernando Cesar Vaini
vaini

(usa Debian)

Enviado em 25/01/2010 - 10:03h

obrigado renato por sua ajuda. sempre é bom saber que podemos contar com vc.

sergito sua dica resolveu mesmo o problema. muito obrigado.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts