Re: [Sysadmins] transparent squid auth
On Tue, Feb 16, 2010 at 10:10:05AM +0300, Timur Batyrshin wrote: Появилась задача сделать прозрачный прокси с доступом по паролю. Прозрачных. Прокси. С. Аутентификацией. Не. Бывает. Точка. -- Regards,-- Sir Raorn. --- http://thousandsofhate.blogspot.com/ signature.asc Description: Digital signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] kernels for asterisk
2010/2/15 Vladimir V. Kamarzin v...@vvk.pp.ru Hi А расскажите, на каких ядрах у нас сейчас принято гонять asterisk, при необходимости использования digium-овских плат? У нас под 2.6.27 ovz-smp бегает вполне пристойно. -- Regards, Michael Bochkaryov www.rattler.kiev.ua ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
On Tue, 16 Feb 2010 11:38:20 +0300 Alexey I. Froloff wrote: Появилась задача сделать прозрачный прокси с доступом по паролю. Прозрачных. Прокси. С. Аутентификацией. Не. Бывает. Точка. Пожалуй, я здесь зря заговорил о прокси вообще. Забудь о нем. По сути -- задача сводится к динамическому изменению правил маршрутизации в зависимости от авторизованности пользователя, причем желательно без каких-то дополнительных ухищрений со стороны пользователя (без установки VPN-клиентов, настройки PPPoE-соединения и т.п.) Существует ли что-нибудь для этого? signature.asc Description: PGP signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
16.02.2010 10:10, Timur Batyrshin пишет: Появилась задача сделать прозрачный прокси с доступом по паролю. Я знаю, что средствами Squid это сделать невозможно, но может быть есть какие-то другие варианты с использованием динамической маршрутизации? Скажем, перенаправлять на маршрутизаторе запросы пользователя по-умолчанию на сервер аутентификации, а после успешного ввода пароля изменять правила так, чтобы его запросы перенаправлялись к прозрачному Squid. Существует ли подобное ПО? Не обязательно на базе ALTLinux, и не обязательно открытое. Если делать аутентификацию не средством squid, то можно что-то сгородить. Но вот подобное ПО мне неизвестно. Впрочем, подозреваю что биллинговые системы этому обучены, и там есть различного рода варианты аутентификации. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
On Tue, Feb 16, 2010 at 11:51:13AM +0300, Timur Batyrshin wrote: По сути -- задача сводится к динамическому изменению правил маршрутизации в зависимости от авторизованности пользователя, Авторизованности где? причем желательно без каких-то дополнительных ухищрений со стороны пользователя (без установки VPN-клиентов, настройки PPPoE-соединения и т.п.) Так тоже не бывает. Кто-то должен у пользователя что-то спросить, пользователь должен куда-то что-то ввести. Пользовательская сессия должна как-то завершаться. Как вы себе это представляете без установки стороннего софта на пользовательскую машину? Нет, ну можно конечно на роутере приделать простенький web интерфейс. Ввёл пароль - поменялся роутинг. Но как-то хреновенько оно работать будет. -- Regards,-- Sir Raorn. --- http://thousandsofhate.blogspot.com/ signature.asc Description: Digital signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
On Tue, 16 Feb 2010 12:00:39 +0300 Alexey I. Froloff wrote: По сути -- задача сводится к динамическому изменению правил маршрутизации в зависимости от авторизованности пользователя, Авторизованности где? См. ниже. причем желательно без каких-то дополнительных ухищрений со стороны пользователя (без установки VPN-клиентов, настройки PPPoE-соединения и т.п.) Так тоже не бывает. Кто-то должен у пользователя что-то спросить, пользователь должен куда-то что-то ввести. Пользовательская сессия должна как-то завершаться. Если адреса динамические, смена MAC-адреса у этого IP будет автоматически означать завершение пользовательской сессии. Плюс таймаут на активность IP-адреса по этому маршруту. Для статических адресов -- таймаут + возможно отдельную страницу для завершения сессии. Как вы себе это представляете без установки стороннего софта на пользовательскую машину? Нет, ну можно конечно на роутере приделать простенький web интерфейс. Ввёл пароль - поменялся роутинг. Но как-то хреновенько оно работать будет. Почему хреновенько? signature.asc Description: PGP signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
16.02.2010 12:10, Timur Batyrshin пишет: Появилась задача сделать прозрачный прокси с доступом по паролю. Я знаю, что средствами Squid это сделать невозможно, но может быть есть какие-то другие варианты с использованием динамической маршрутизации? Скажем, перенаправлять на маршрутизаторе запросы пользователя по-умолчанию на сервер аутентификации, а после успешного ввода пароля изменять правила так, чтобы его запросы перенаправлялись к прозрачному Squid. Существует ли подобное ПО? Не обязательно на базе ALTLinux, и не обязательно открытое. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins Можно использовать IEEE_802.1X. Обычно применяется для WiFi-сетей, но для проводных тоже возможен. -- С уважением, Шигапов Ринат инженер-программист ООО Невод тел. (342) 2 196 960 JID: dxist эт ya.ru ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
16.02.2010 12:09, Timur Batyrshin пишет: Нет, ну можно конечно на роутере приделать простенький web интерфейс. Ввёл пароль - поменялся роутинг. Но как-то хреновенько оно работать будет. Почему хреновенько? Такие решения реализованы в различного рода системах типа гостинниц, когда покупаешь доступ в интернет, потом подключаешься к открытому WiFI и авторизуешься по имени пользователя/паролю. Раньше так-же был доступ организован у платных WiFI сетей в МСК, сейчас не знаю. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
16 февраля 2010 г. 11:51 пользователь Timur Batyrshin batyrs...@ieml.ru написал: On Tue, 16 Feb 2010 11:38:20 +0300 Alexey I. Froloff wrote: Появилась задача сделать прозрачный прокси с доступом по паролю. Прозрачных. Прокси. С. Аутентификацией. Не. Бывает. Точка. Пожалуй, я здесь зря заговорил о прокси вообще. Забудь о нем. По сути -- задача сводится к динамическому изменению правил маршрутизации в зависимости от авторизованности пользователя, причем желательно без каких-то дополнительных ухищрений со стороны пользователя (без установки VPN-клиентов, настройки PPPoE-соединения и т.п.) Существует ли что-нибудь для этого? Для этого существует даже специальный термин. Читайте: http://en.wikipedia.org/wiki/Captive_portal Такое делают для гостевых сетей. Пришёл человек, воткнулся в розетку (или подключился по wifi) и на любой запрос в web-браузере его пересылают на (шлюз)страничку с формой для заполнения имени/пароля. После успешного ввода, на шлюзе добавляется разрешающее правило для этого клиента. В некоторых железках это бывает встроенно (например в wifi контролёрах cisco). -- Alexey Shabalin ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
Здравствуйте, Anton Farygin! Вы писали 16.02.2010 12:48: Такие решения реализованы в различного рода системах типа гостинниц, когда покупаешь доступ в интернет, потом подключаешься к открытому WiFI и авторизуешься по имени пользователя/паролю. Раньше так-же был доступ организован у платных WiFI сетей в МСК, сейчас не знаю. Кстати, а можно чуть подробнее, если есть, что рассказать? Потому что мне всегда было интересно, как именно это реализовано, чисто технически. Каждая гостиница изобретает свой самописный велосипед, или есть что-то более или менее готовое и проверенное? P.S. Каждый раз о том, как же конкретно это реализовано, задумываюсь, подключаясь в МакДаке к бесплатному вай-фаю от Билайна. Там тоже сначала всё закрыто, при попытке перейти по любой ссылке перекидывает на страницу авторизации, после авторизации же начинает работать всё по всем портам. С уважением, Кирилл Феоктистов. (926) 46-958-46 ICQ: 344652942 ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
16 февраля 2010 г. 13:10 пользователь Кирилл Феоктистов fea...@mail.ru написал: Здравствуйте, Anton Farygin! Вы писали 16.02.2010 12:48: Такие решения реализованы в различного рода системах типа гостинниц, когда покупаешь доступ в интернет, потом подключаешься к открытому WiFI и авторизуешься по имени пользователя/паролю. Раньше так-же был доступ организован у платных WiFI сетей в МСК, сейчас не знаю. Кстати, а можно чуть подробнее, если есть, что рассказать? Потому что мне всегда было интересно, как именно это реализовано, чисто технически. Каждая гостиница изобретает свой самописный велосипед, или есть что-то более или менее готовое и проверенное? P.S. Каждый раз о том, как же конкретно это реализовано, задумываюсь, подключаясь в МакДаке к бесплатному вай-фаю от Билайна. Там тоже сначала всё закрыто, при попытке перейти по любой ссылке перекидывает на страницу авторизации, после авторизации же начинает работать всё по всем портам. 1 ) При подключении тебе выдаётся ip адрес, которому всё запрещено, разрешено только к обращение к шлюзу на порт 80 или 443. 2) Все http запросы на порт 80 перенаправляются на шлюз на порт 80 или 443 с формой для ввода пароля. 3) после успешного ввода пароля добавляется разрешающее правило для ip клиента. http://en.wikipedia.org/wiki/Captive_portal -- Alexey Shabalin ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
On Tue, 16 Feb 2010 13:10:23 +0300 Alexey Shabalin wrote: По сути -- задача сводится к динамическому изменению правил маршрутизации в зависимости от авторизованности пользователя, причем желательно без каких-то дополнительных ухищрений со стороны пользователя (без установки VPN-клиентов, настройки PPPoE-соединения и т.п.) Существует ли что-нибудь для этого? Для этого существует даже специальный термин. Читайте: http://en.wikipedia.org/wiki/Captive_portal Спасибо! Знать по каким ключевым словам искать -- уже знать половину ответа. Такое делают для гостевых сетей. Пришёл человек, воткнулся в розетку (или подключился по wifi) и на любой запрос в web-браузере его пересылают на (шлюз)страничку с формой для заполнения имени/пароля. После успешного ввода, на шлюзе добавляется разрешающее правило для этого клиента. В некоторых железках это бывает встроенно (например в wifi контролёрах cisco). signature.asc Description: PGP signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
Кстати, а можно чуть подробнее, если есть, что рассказать? Потому что мне всегда было интересно, как именно это реализовано, чисто технически. Каждая гостиница изобретает свой самописный велосипед, или есть что-то более или менее готовое и проверенное? обычно гостиницы/кафе приобретают подобное устройство http://www.zyxel.ru/content/catalogue/classifier/9/ я пробовал, мне понравилось... кнопочку на принтере нажал, распечатался текст, где логин-пароль-время доступа указаны, ну и логотипы и координаты... не понравилось - состояние с лицензией на предоставление услуг связи... мелкому кафе не осилить, а крупному - проще провайдера пустить на свою территорию, а втихую такое делать - как коршуны налоговая, проверки, милиция прибегут быстро... P.S. Каждый раз о том, как же конкретно это реализовано, задумываюсь, подключаясь в МакДаке к бесплатному вай-фаю от Билайна. Там тоже сначала всё закрыто, при попытке перейти по любой ссылке перекидывает на страницу авторизации, после авторизации же начинает работать всё по всем портам. С уважением, Кирилл Феоктистов. (926) 46-958-46 ICQ: 344652942 ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
Здравствуйте, Alexey Shabalin! Вы писали 16.02.2010 13:10: Для этого существует даже специальный термин. Читайте: http://en.wikipedia.org/wiki/Captive_portal Спасибо, вы как раз ответили на мой вопрос. 8) С уважением, Кирилл Феоктистов. (926) 46-958-46 ICQ: 344652942 ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] transparent squid auth
Здравствуйте, Alexey Shabalin! Вы писали 16.02.2010 13:16: 1 ) При подключении тебе выдаётся ip адрес, которому всё запрещено, разрешено только к обращение к шлюзу на порт 80 или 443. 2) Все http запросы на порт 80 перенаправляются на шлюз на порт 80 или 443 с формой для ввода пароля. 3) после успешного ввода пароля добавляется разрешающее правило для ip клиента. http://en.wikipedia.org/wiki/Captive_portal Нет, ну сам принцип был и так очевиден, хотелось чуть конкретнее про реализацию узнать. За ссылку ещё раз спасибо, она как раз проясняет. С уважением, Кирилл Феоктистов. (926) 46-958-46 ICQ: 344652942 ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] kernels for asterisk
On 16 Feb 2010 at 13:38 MB == Michael Bochkaryov writes: А расскажите, на каких ядрах у нас сейчас принято гонять asterisk, при необходимости использования digium-овских плат? MB У нас под 2.6.27 ovz-smp бегает вполне пристойно. С HZ=1000 пересобирали? -- vvk ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] kernels for asterisk
On Mon, Feb 15, 2010 at 03:39:18PM +0500, Vladimir V. Kamarzin wrote: VVK А расскажите, на каких ядрах у нас сейчас принято гонять asterisk, при VVK необходимости использования digium-овских плат? Сейчас бегает на любых. Только предупреждаю -- сейчас не стоит трогать сизифные ядра (dahdi модули собраны прямо сейчас не для всех, и у меня руки не доходят пофиксить). HZ=1000 не нужно, нынешний dahdi_dummy пользуется hrtimer, и поэтому обеспечивает достаточную точность без этих извращений. -- С уважением, Денис http://mithraen.ru/ signature.asc Description: Digital signature ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins