Re: squid + ssl

To: debian-russian@lists.debian.org
Subject: Re: squid + ssl
From: Alexander Kogan <alexander@kogan.nnov.ru>
Date: Thu, 20 Dec 2001 18:30:23 +0300
Message-id: <[🔎] E16H59L-0006dw-00@jk.lab313>
In-reply-to: <[🔎] 20011220145715.GA31493@stealth.demos.su>
References: <[🔎] E16Gx27-000G0R-00@mail.chat.ru> <[🔎] E16H0Ur-000NA8-00@mail.chat.ru> <[🔎] 20011220145715.GA31493@stealth.demos.su>

Hi!

Народ, а почему не сделать авторизацию через socks?

20 Декабрь 2001 17:57, Dmitriy Kuznetsov написал:
> Осмелюсь предложить кардинальное предложение по приструниванию
> огромного кол-ва народа в неполностью "засвитчованной" сети.
> У нас сейчас приблизительно такая же ситуация: хотим усилить контроль над
> сетью(точнее выходом в инет). Сейчас конфигурация такая 300 юзеров +
> Firewall(CBQ+transparent_squid+iptables). На firewall у нас контроль
> доступа по IP адресам + permanent arp(но здесь есть один минус - можно
> легко перепрошить сетевуху или ifconfig hw ether ...). Поэтому было решено
> сделать доступ строго по имени пользователя + password !!!!
> (то есть всё равно с какого IP он зашёл, ответственность
> будет нести owner login`а).
>
> Теперь самое интересное как мы это будем делать.
> Мы собираемся использовать PPTP(шлюз будет VPN сервером). За каждым
> логином будет в VPN резирвироваться IP адрес и подделать его будет
> невозможно. То есть человек при желании работать в
> интернете нажимает (это конечно для Windows) ярлык на рабочем
> столе(ощущения как на DialUP :)))) и подсоединяется к инету:))).
> Просто routing отключаем нахрен!
>
> PPTP(клиент) - удобен, документирован, зашифрован, стабилен (в отличии
> от SSH-tunnelling`a через TeraTerm )с пол тычка настраивается и в Windows и
> в Linux/*nix, и ваще головной боли с ним ноль!
>
> После настройки VPN сервера на Gateway`е уровень контроля пользователей
> ограничивается только фантазией.
> Удачи всем.
>
> P.S.: очень понравился thread про переводы :))
> "Вам должны установить систему" или "в ответ не приглашение а ....:)))"
> LOL полный.
>
> On Thu, Dec 20, 2001 at 01:32:17PM +0300, daapp@chat.ru wrote:
> > Цитирование "Victor Vislobokov" <vvislobokov@lukoilperm.ru>,
> >
> > victor@unspecified-domain, debian-russian@lists.debian.org:
> > >> Есть сеть и шлюз во внешний мир, на шлюзе стоит
> > >> squid , а в сети злобные студенты со сниферами.
> > >> Посему охота пускать всех необходимых пользователей сети
> > >> в интернет авторизованно через squid по зашифрованному тунелю до
> > >> squid'а. Поделитесь опытом, как это сделать?
> > >
> > >  Ну перво наперво squid'у пароль передается не
> > >в plain text'е а в mime, поэтому если у студентов
> > >мозгов нет, то может и городить ничего не стоит?
> >
> > К сожалению немного имеется ;)
> >
> > >  Если все-таки стоит, то расскажу как это делал я.
> > >Ессно все это очень криво и пошло, но зато работало.
> > >
> > >  1. Ставишь sshd на сервер со squid'ом
> > >  2. Ставишь на виндозу TerraTerm с ssh plugin'ом
> > >  3. Настраиваешь браузер на прокси: localhost:3128
> > >  4. Настраиваешь TerraTerm на проборос портов с
> > >localhost:3128 на сервер скажем 10128
> > >  5. Настраиваешь на сервере sshd проброс портов
> > >с 10128 на 3128
> > >
> > >  Все.
> > >  Ессно перед тем как полезть браузером куда-то нужно
> > >запустить TerraTerm и зайти на сервер - это первая кака
> > >  Вторая как в том, что это слегка подтормаживает, а
> > >иногда соединение даже рвется (редко но бывает)
> >
> > Спасибо, способ конечно интересный, но тут есть 2 неудобных момента
> > 1. не хочу пускать студентов на сервер
> > 2. очень хочется обойтись одной программой(браузером), так как
> >  попадаются часто истинно бестолковые пользователи, и каждому не объянишь
> > что и как под виндой настраивать, а самому бегать на 100 машин
> > настраивать нет желания. С браузером несколько проще, я написал
> > javascript
> > автоматической настройки proxy серверов и пользуюсь на всех машинах им.
> >
> > Я так понимаю браузеры IE и NN не умеют ходит на прокси по ssl?
> >
> > Подскажите, пожалуйста, есть ли в squid'е возможность ограничивать
> > объем выкачиваемой информации каждым юзером? А если нет , то что
> > посоветуете?
> >
> > Правильно ли я понимаю следующее:
> > есть пользователь в squid'е, у него время доступа в инет
> > с 15 до 17, в 16.30 он качнул немерянный файл, который притащится
> > только через 2 часа, т.е. неукладывается в его временной интервал,
> > даст ли squid этот файл дотащить до конца, или оборвет?
> >
> > Я пробовал проводит этот эксперимент - у меня не обрывал.
> > Это у меня кривые руки или это баг?

-- 
Alexander Kogan
AutoWave Processes Group
Institute of Applied Physics RAS

Reply to:

Follow-Ups:
- Re: squid + ssl
  - From: Dmitriy Kuznetsov <eth0@pochtamt.ru>
- Re: squid + ssl
  - From: daapp@chat.ru

References:
- squid + ssl
  - From: daapp@chat.ru
- Re: squid + ssl
  - From: daapp@chat.ru
- Re: squid + ssl
  - From: Dmitriy Kuznetsov <eth0@pochtamt.ru>

Prev by Date: Re: ru.po
Next by Date: Re: Xfree@unstable + matrox + GL
Previous by thread: Re: squid + ssl
Next by thread: Re: squid + ssl
Index(es):
- Date
- Thread