Hallo Peter,
From: Peter Forst [mailto:pforst@yahoo.com]
Ist das auch für einzelne IP-Adressen möglich. Wir haben hier eine ACL (hosts_allowed) in der die IP-Adressen stehen, die ins Internet dürfen. Wäre es möglich für bestimmte IP- Adressen auch diese ACL's mit verweigern der Downloads mit bestimmten Endungen (.exe usw.) aber für andere IP-Adressen wiederum das Ganze freizugeben ? Am besten sogar noch in einer sep. Datei ???
Grundsätzliches: Ich würde dir abraten, die Verwaltung adressenzentriert zu machen. Ist irgendwann nicht mehr wartbar und bei DHCP...ächz... Aber da hat jeder Admin sein eigens Weltbild :-) Zum Thema: Die kleine Lösung wäre vielleicht folgendes: Variante a) Downloads nur für berechtigte User mit Passwort. Mache ich selbst so. Standardlösung. acl allowed_download proxy_auth REQUIRED acl ftp-direct proto ftp http_access allow ftp-direct allowed-Download ftp_passive on authenticate_program /usr/sbin/ncsa_auth /usr/etc/passwd Variante b) Downloads nur für bestimmte SRC-Adressen. Allerdings ungeprüft mangels Testumgebung. acl allowed-ip-list src "/usr/share/squid/allowed-ip-list" acl ftp-direct proto ftp http_access allow ftp-direct allowed-ip-list ftp_passive on Das File allowed-ip-list enthält zeilenweise ip-adresse/netmask (siehe auch Doku!) Berichte mal, ob's funktioniert. Wenn ich jetzt richtig 'extrapoliere' willst du entweder - den WebSweeper. Leider nur für M$-Systeme erhältlich. Kann aber gegen die NTLM authentisieren und somit user/gruppenabhängig filtern. - oder SquidGuard. Laut Doku kann das Teil wohl mehr als zu verkraften ist... Über LDAP (ldapauth in squid selbst) besteht hier ebenfalls die Möglichkeit, user/gruppenabhängig zu filtern. Kann dir leider noch keine Lösung bieten weil ich Squidguard selbst erst rudimentär überflogen hab. Wenn ich das richtig verstanden hab, werden hier die Filter als DB realsiert (bei Squid als Stringvergleich). Damit ist dieser bei großen Listen und hohem Durchsatz auf jeden Fall die bessere Wahl. Zu LDAP fehlt mir jegliche Erfahrung. Dewegen hab ich auch ein unbestimmtes, ungutes Gefühl den Cache durch die Firewall auf den LDAP Server zugreifen zu lassen. Vielleicht kann ja hierzu jemand Erfahrungswerte beisteuern... Gruß, Mathias