Настройка локальной сети с авторизацией по mac- адресу.

[Ankor]

Таки имею вопрос: как это сделать?
Покопался в сети и понял, что ничего не понимаю. Стоит ubuntu 10.04. В ней уже стоит squid

(Нажмите, чтобы показать/скрыть)

squid -v
Squid Cache: Version 2.7.STABLE7
configure options:  '--prefix=/usr' '--exec_prefix=/usr' '--bindir=/usr/sbin' '--sbindir=/usr/sbin' '--libexecdir=/usr/lib/squid' '--sysconfdir=/etc/squid' '--localstatedir=/var/spool/squid' '--datadir=/usr/share/squid' '--enable-async-io' '--with-pthreads' '--enable-storeio=ufs,aufs,coss,diskd,null' '--enable-linux-netfilter' '--enable-arp-acl' '--enable-epoll' '--enable-removal-policies=lru,heap' '--enable-snmp' '--enable-delay-pools' '--enable-htcp' '--enable-cache-digests' '--enable-underscores' '--enable-referer-log' '--enable-useragent-log' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-carp' '--enable-follow-x-forwarded-for' '--with-large-files' '--with-maxfd=65536' 'i386-debian-linux' 'build_alias=i386-debian-linux' 'host_alias=i386-debian-linux' 'target_alias=i386-debian-linux' 'CFLAGS=-Wall -g -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions' 'CPPFLAGS='

Как правило в раздаче участвуют две сетевые карты. В моём случае есть только eth0 подключённый к свитчу (или я не правильно понимаю?  ).

Код: [Выделить]

ifconfig
eth0      Link encap:Ethernet  HWaddr 48:5b:39:c9:96:05  
          inet addr:10.2.1.85  Bcast:10.2.3.255  Mask:255.255.252.0
          inet6 addr: fe80::4a5b:39ff:fec9:9605/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5890423 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2084910 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1073479902 (1.0 GB)  TX bytes:1403544611 (1.4 GB)
          Interrupt:28

lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:537698 errors:0 dropped:0 overruns:0 frame:0
          TX packets:537698 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:35329870 (35.3 MB)  TX bytes:35329870 (35.3 MB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:172.16.24.47  P-t-P:172.16.24.254  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:122357 errors:0 dropped:0 overruns:0 frame:0
          TX packets:83514 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:142602445 (142.6 MB)  TX bytes:9263261 (9.2 MB)

vboxnet1  Link encap:Ethernet  HWaddr 0a:00:27:00:00:01  
          inet6 addr: fe80::800:27ff:fe00:1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:1392 (1.3 KB)
IP выставлен динамический и так вроде проще. (У ppp0 и у eth0)
Вопрос: как мне раздать интернет? Может поделитесь конфигом?

[fisher74]

Вопрос: как мне раздать интернет? Может поделитесь конфигом?

Встречный вопрос: кому раздавать будете?
В настройках сквида есть авторизация по mac-адресу.
Только вот поможет ли это?!
Боюсь, что скромное описание схемы скрывает под собой острые углы...

[Ankor]

Раздача пока что предполагается двум виндовым машинам по шнурку.
Проблема ещё в том, что кроме них в сети (общага, что сказать) есть ещё примерно две тысячи машин. Может чуть меньше

[Mam(O)n]

По раздаче см. прикрепленную тему.
А про фильтрацию по mac смотри инструкцию iptables:

   mac
       [!] --mac-source address
              Match  source  MAC  address.    It   must   be   of   the   form
              XX:XX:XX:XX:XX:XX.   Note that this only makes sense for packets
              coming from an Ethernet device and entering the PREROUTING, FOR‐
              WARD or INPUT chains.

[AnrDaemon]

Раздача пока что предполагается двум виндовым машинам по шнурку.
Проблема ещё в том, что кроме них в сети (общага, что сказать) есть ещё примерно две тысячи машин. Может чуть меньше

Самое прямое - VPN сервер. Ибо авторизация по MAC это не авторизация, а проверка по фотографии слепым вахтёром. "Усы и кепка - значит он". А то что лицо не похоже - так за усами под кепкой не видно.

[fisher74]

Самое прямое - VPN сервер.

Плюсую.
OpenVPN и от squid-а можно отказаться.... ну если только в прозрачном режиме для экономии траффика

[Ankor]

Ну а как на счёт простоты настройки?
Кроме того, у нас анлим тут ^_^
Я просто ничего не смыслю в настройках сетей. Поэтому и обратился к вам. Я уже пробовал готовые конфиги, но там они либо не работали, либо давали доступ всем подряд. Поэтому и прошу вашей прямой помощи. Трудно для меня это. И английского не знаю. Вот и прошу: помогите, плз :"(

[AnrDaemon]

OpenVPN просто настраивается. Минус в том, что придётся качать и ставить её собственный клиент на все машины, но минус небольшой ввиду очевидных плюсов результата. У меня задача была поднять родной мелкомягкий PPTP, вот я там намучался...

[VSTGod]

Таки имею вопрос: как это сделать?
Покопался в сети и понял, что ничего не понимаю. Стоит ubuntu 10.04. В ней уже стоит squid

(Нажмите, чтобы показать/скрыть)

squid -v
Squid Cache: Version 2.7.STABLE7
configure options:  '--prefix=/usr' '--exec_prefix=/usr' '--bindir=/usr/sbin' '--sbindir=/usr/sbin' '--libexecdir=/usr/lib/squid' '--sysconfdir=/etc/squid' '--localstatedir=/var/spool/squid' '--datadir=/usr/share/squid' '--enable-async-io' '--with-pthreads' '--enable-storeio=ufs,aufs,coss,diskd,null' '--enable-linux-netfilter' '--enable-arp-acl' '--enable-epoll' '--enable-removal-policies=lru,heap' '--enable-snmp' '--enable-delay-pools' '--enable-htcp' '--enable-cache-digests' '--enable-underscores' '--enable-referer-log' '--enable-useragent-log' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-carp' '--enable-follow-x-forwarded-for' '--with-large-files' '--with-maxfd=65536' 'i386-debian-linux' 'build_alias=i386-debian-linux' 'host_alias=i386-debian-linux' 'target_alias=i386-debian-linux' 'CFLAGS=-Wall -g -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions' 'CPPFLAGS='

Как правило в раздаче участвуют две сетевые карты. В моём случае есть только eth0 подключённый к свитчу (или я не правильно понимаю?  ).

(Нажмите, чтобы показать/скрыть)

ifconfig
eth0      Link encap:Ethernet  HWaddr 48:5b:39:c9:96:05  
          inet addr:10.2.1.85  Bcast:10.2.3.255  Mask:255.255.252.0
          inet6 addr: fe80::4a5b:39ff:fec9:9605/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5890423 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2084910 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1073479902 (1.0 GB)  TX bytes:1403544611 (1.4 GB)
          Interrupt:28

lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:537698 errors:0 dropped:0 overruns:0 frame:0
          TX packets:537698 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:35329870 (35.3 MB)  TX bytes:35329870 (35.3 MB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:172.16.24.47  P-t-P:172.16.24.254  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:122357 errors:0 dropped:0 overruns:0 frame:0
          TX packets:83514 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:142602445 (142.6 MB)  TX bytes:9263261 (9.2 MB)

vboxnet1  Link encap:Ethernet  HWaddr 0a:00:27:00:00:01  
          inet6 addr: fe80::800:27ff:fe00:1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:1392 (1.3 KB)

IP выставлен динамический и так вроде проще. (У ppp0 и у eth0)
Вопрос: как мне раздать интернет? Может поделитесь конфигом?

Дело в том что сквид лежащий в репах мало того чта устарелый(2.7) ещщо и собран без поддержки arp-acl (фильтра мак адресов) так чта компильте самостоятельна, вот так

Код: [Выделить]

wget http://www.squid-cache.org/Versions/v3/3.0/squid-3.0.STABLE25.tar.gz
tar xvzf squid-3.0.STABLE25.tar.gz
cd squid-3.0.STABLE25
./configure --prefix=/usr --program-suffix=3 --bindir=/etc/init.d --with-pidfile=/var/run --bindir=/etc/init.d --sysconfdir=/etc/squid3 --sbindir=/usr/sbin --libexecdir=/usr/lib/squid3 --enable-delay-pools --enable-icap-client --localstatedir=/var/cache/squid3 --enable-err-languages=Russian-1251 --enable-kill-parent-hack [color=red]--enable-arp-acl [/color]--enable-ssl --enable-auth="basic digest ntlm negotiate" --enable-basic-auth-helpers="LDAP SMB NCSA POP3 squid_radius_auth" --enable-ntlm-auth-helpers="SMB fakeauth no_check" --enable-digest-auth-helpers="password ldap eDirectory" --enable-negotiate-auth-helpers="squid_kerb_auth" --enable-external-acl-helpers="ip_user ldap_group unix_group" --enable-cpu-profiling --disable-translation --enable-icmp --enable-linux-netfilter --enable-ipfw-transparent --enable-ipf-transparent --enable-pf-transparent
make all
make install
Пачему стабле25??? Потому что действительно стабле, а во вторых следующий 3.1 уже с новым синтаксисом конфига...

[Ankor]

Да как оказалось, проще настроить nat. Позже отпишусь что и как.

[Sly_tom_cat]

И всетаки стоит прислушатся к дважды озученному здесь - используйте VPN. Поменять мак на сетевухе - дело одной команды, подсмотреть мак того компьютера, который будет допущен к нету - тоже не сложно (особенно в общаге ), в результате лазить будут все кому не лень, и фиг то с ним - да только, когда в сети два одинаковых мака - разные странности бывают (тут уже зависит от активки сети) - халявщики вам эти радости организуют - 100%....