Squid; Zugriffsbeschränkung durch ident-acl
Hallo Liste, irgendwie bekomme ich den Squid nicht so zum Funktionieren, wie ich es mir erhofft habe. Habe einen Rechner mit dem Paketfilter ausgrüstet, der gleichzeitig als masquerading-rechner fungiert. Den will ich jetzt mit squid zum laufen bringen. Die kiste hängt hinter einem hardware-billig-router an adsl. Aufbau etwa wie folgt: adsl----hardwarerouter----server(masqueradeing, squid etc.pp.)----internes netz Ich möchte den Zugriff auf das Inet durch die ident-abfrage beschränken. leider funktiniert das nicht. Habe als acl folgende einträge: <--------------snip ---------------> acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl our_networks src 192.168.2.0/255.255.255.0 # acl password proxy_auth REQUIRED acl identhosts ident REQUIRED acl wir_duerfen ident user1 user2 user3 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow identhosts http_access deny all http_access allow wir_duerfen http_access deny all ident_lookup_access allow our_networks ident_lookup_access deny all http_access deny all http_reply_access allow all <------------- snap ------------------------> egal ob ich nun "identhosts" unkommentiert lasse oder "wir_duerfen", der Zugang zum Inet wird verweigert. Auf dem "client" ist der pidentd installiert und läuft. Wenn die Regel lediglich "REQUIRED" lautet, dann können alle surfen. Die access.log beinhaltet auch keine Info in bezug auf den surfenden user. Eine Beschränkung in Zeit und Art ist somit nicht möglich. Ich weiss, dass ich noch einige weitere acl-einträge in Bezug auf "date" vornehmen muß, sowie die Verknüpfung zum squidguard, aber wenn bereits jetzt nichts funktioniert, dann brauche ich auch nicht weitermachen. gegoogled habe ich bereits und die Infos, die ich gefunden habe, bestätigen eigentlich, dass ich eigentlich richtige einträge vorgenommen habe. Oder bi nich doch einfach nur zu blond? Welche zusätzlichen Einstellungen müssen für eine derartige Zugriffsbeschränkung noch vorgenommen werden? Eine Authentifikation mittels "pam_auth" möchte ich nicht, das ist lästig (hat aber bereits funktioniert und bleibt ersteinmal, bis ich dieses Prob mit dem ident gelöst habe). Die Kinder sollen nicht jedes mal wieder ein password eingeben müssen. und mich selbst stört es auch! ;-) Vielen Dank schonmal für eure Hilfe. Da ich per web-frontend aus maile kommt sicher mein name nicht durch, dehalb nun grüsse von Jens Teichmann
Hallo, mailing@saftnase.de wrote: Ein Realname wäre nett. Wer redet schon gern mit Saftnasen;-) [....]
Ich möchte den Zugriff auf das Inet durch die ident-abfrage beschränken. leider funktiniert das nicht. Habe als acl folgende einträge:
[....]
http_access allow identhosts
http_access deny all
http_access allow wir_duerfen
http_access deny all
ident_lookup_access allow our_networks
ident_lookup_access deny all
http_access deny all
Nach einem "http_access deny all" ist die Sache für Squid erledigt. Danach hilft auch kein "allow" mehr. Gruss horst
participants (2)
-
Horst Mueller
-
mailing@saftnase.de