Настройка сети. (автоматическая авторизация)

[vall59]

Всем добрый день!
Занимаюсь настройкой маленькой сетки (компьютерный класс).
Имеется простеньки сервер (ubuntu server 8.4.4 + samba, squid, webmin).

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

auto@auto-srv:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1b:11:bd:89:d3
          inet addr:192.168.1.1  Bcast:192.255.255.255  Mask:255.0.0.0
          inet6 addr: fe80::21b:11ff:febd:89d3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:122 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:20008 (19.5 KB)
          Interrupt:5

eth1      Link encap:Ethernet  HWaddr 00:50:22:8e:0d:f9
          inet addr:192.168.11.49  Bcast:192.168.11.255  Mask:255.255.254.0
          inet6 addr: fe80::250:22ff:fe8e:df9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:68616 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1327 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:6245729 (5.9 MB)  TX bytes:248885 (243.0 KB)
          Interrupt:11 Base address:0xc400

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:17 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:888 (888.0 B)  TX bytes:888 (888.0 B)


eth0 смотрит во внешнюю сетку и получает интернет через прокси с авторизацией
eth1 смотрит во внутреннюю сетку и раздает инет.

задача: организовать прозрачный прокси, чтобы пользователи из внутренней сети автоматом авторизовались на внешнем прокси + некоторые запросы отправлять напрямую на внешний прокси.

минизадача: по возможности организовать быстрый вкл/выкл инета на каждой машине по отдельности...........

[AnrDaemon]

Не перепутал eth0/eth1?

[vall59]

извиняюсь   действительно перепутал.....  забыл что переставлял систему

[Sam Stone]

примеров как завернуть траф на сквид полно. Думаю, сам справишься
В сквиде ищи параметр cache_peer. Указаешь адрес внешнего прокси и логин с паролем для авторизации.
По поводу быстрого включения/отключения: чтоб минимум делать - файл со списком айпишников в acl прозрачного сквида и http_access на этот acl, когда надо отключить, убиваешь айпишник в файле и делаешь squid -k reconfigure. Либо через iptables: держать правила в вебмине и переключать их с accept на drop и обратно когда надо.

[vall59]

примеров как завернуть траф на сквид полно. Думаю, сам справишься
В сквиде ищи параметр cache_peer. Указаешь адрес внешнего прокси и логин с паролем для авторизации.

спасибо за cache_peer))

Порты перенаправил, сквид настроил, все работает НО!!  до первой запрещенной страницы (или какого-то контента на странице), ибо в этом случае оно (главный прокси) посылает повторный запрос пароля, на который сквид уже не реагирует.... он просто пропускает запрос до пользовательской машины, там не зная никакого пароля жмут отмена и все(((  до перегруза сервака все пропадает (кроме тех страниц которые успели открыть)...........

iptables

(Нажмите, чтобы показать/скрыть)

sudo iptables -L -t nat
[sudo] password for auto:
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  anywhere             anywhere            multiport dports www,webcache redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
auto@auto-srv:~$ sudo iptables -L -t filter
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
auto@auto-srv:~$ sudo iptables -L -t mangle
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

squid

(Нажмите, чтобы показать/скрыть)

cache_peer 192.168.10.1 parent 8080 3130 login=djfadl:fjdbsf,kv
acl all src 192.168.1.11-192.168.1.30/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
icp_access allow all
access_log /var/log/squid/access.log squid
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl apache rep_header Server ^Apache
acl nahren src 0.0.0.0/0.0.0.0
http_access allow manager localhost
http_access deny manager
http_access allow all
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny nahren
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
http_port 192.168.1.1:8080
http_port 192.168.1.1:3128 transparent
hosts_file /etc/hosts
coredump_dir /var/spool/squid

[Sam Stone]

...в этом случае оно (главный прокси) посылает повторный запрос пароля

о_0 А посмотреть как он настроен нельзя? Поправить бы, чтоб на запрещенную страницу не повтор авторизации требовал, а выдавал локальную страничку "Туда низя". Но я с таким не сталкивался.

[vall59]

к сожалению посмотреть нельзя(((  мне врятли статику на сервак дадут, а править прокси и подавно не будут......

Пользователь решил продолжить мысль 24 Марта 2010, 16:01:05:Таки удалось победить squid!! 
Посему новый нубский вопрос, можно ли сделать так чтобы периодически переключались правила для cache_peer ??   допустим по дням недели)))
тоесть в понедельник один пользователь, во вторник второй, или просто рандомом выбирало одну из заданных учеток...................