Prophion
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Можно по паролю, только не используя возможности сквида, а прибегнув к серверу PPTP. Схем реализации, я вижу две: Таже что и сверху, только теперь всё ограничивается на PPPTP-адреса. Или: Все, кто не подсоединён к PPTP идут на прокси, а те кто подсоединился ходят прямо в нет. без прокси-сервера. Второй вариант мне кажется лучше, потому его и опишу Значится так. У нас есть (это всё НАПРИМЕР) сеть 192.168.1.0/24, внешний провайдер с доменом myprovider.com.ua (где-то мы уже это видели). Нужно разрешить все доступ к домену провайдера Нужно разрешить парольный доступ отдельным личностям в интернет по логину с паролем. Ну начём. Всё так же открываем WinBOX (имели мы ввиду эту консоль ) Заходим в IP->Web-proxy Жмём Settings и ставим: - Src. address: IP локального интерфейса (в нашем случаи это 192.168.1.1) - Port: Ну какой-нибудь, пускай будет стандартный, нам не жалко - 3128 - Host name: Давай те введём что-нибудь, ну пускай это будет, mikrotik.mydomain.ua - Transparent proxy: Прозрачный прокси, ставим галку, нам это нужно - Cache administrator: Введи своё мыло, чтобы обиженным было куда писать, например, v@sosny.ru - Maximum object size: Максимальный кешируемый, при включённом кеше, объект. Обычно ставят 1-1,5 МБ (1024-1536) - Maximum cache size: Тут надо быть поаккуратнее, вся проблема в том, что Сквид, нифига не умеет корректно работать со своим кешем, при достижении какого-то там объёма файлов внутри него. Поэтому большое значение лучше не ставить, давайте поставим 500МБ - 512000 - Maximum RAM cache size: Это объём содержащегося кеша в ОЗУ. Поставьте метров 8 (8192), ему хватит на всю жизнь. Жмём кнопку Enable и закрываем окошко. Теперь создаём два правила прокси: №1: Src. Address: 192.168.1.0/24 Dst. Address: 0.0.0.0/0 URL:http://*myprovider.com.ua/* Method: Any Action: Allow №2: Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL:http://* Method: Any Action: Deny Переходим на вкладку Cache Создаём два правила кеша: №1: Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL:*/cgi-bin/* Method: Any Action: Deny №2: Src. Address: 0.0.0.0/0 Dst. Address: 0.0.0.0/0 URL:http://* Method: Any Action: Allow Усё. Прокси готов. Чего мы добились. У нас все пользователи могу ходить на сайты домена myprovider.com.ua и прриэтому информация с него кешируется... Теперь остался интернет. Заходим в PPP. Жмём кнопку PPTP. Вводим параметры телеметрии ... - Enable Ставим галку - Max MTU: 1460 (Что это???) - Max MRU: 1460 (Что это???) - Keepalive Timeout - Время простоя после которого происходит разрыв. Можно не указывать, в смысле галку снимаем - Defaul Profile: Выбираем профиль шифрования, т.к. мы шифрование настраивать не будем (его за нас настроили), выбираем default-encryption - Authntication: Авторизация. Ставим все галки. Жмём ОК. Переходим на вкладку Profiles. Дважды клацаем на default-encryption Меняем Local Address: Адрес нашего сервера. Ну например 192.168.203.1 Меняем DNS Server: Ну какие у вас там DNSы Переходим на вкладку Limits. Ставим точку Only One - No Жмё OK Переходим на вкладку Secrets (а вот они - Пользователи) Жмём кнопку + Получаем окошко, в котором заполняем: - Name: Оно же логин. оно же название правила - Password: Пароль! Галку ставим, поле заполняем - Service: В куда этот пользователи ходит, выбираем pptp - Profile: default-encryption - Local Address: Адрес нашего сервера. Оставляем не заполненным (возьмётся из профиля) - Remote Address: Ну например 192.168.203.2 Жмём ОК. Почти-почти всё готово... Заходим IP->Firewall. Переходим на вкладку Address list Жмём кнопку +. Запоняем поля: - Name: Название группы адресов. Ну пожалуй PPTP - Address: Адрес или маска адресов в сети. Ну пускай у нас на каждго пользера будет свой адрес и в случаии чего мы сможем его отлучать от интернета нажатием одной кнопки. Поэтому вводим адрес пользователя 192.168.203.2 Жмё ОК Запись появляется, но она не активная, выделяем её и жмём галочку! (Если хотим запретить, то жмём крестик) Переходим на вкладку NAT. Создаём два правила: №1: - Chain: srcnat - Out. Interface: Internat (интерфейс направления) - Src. Address List (Вкладка Advanced): PPTP (новосозданная группа IP-адресов) - Action (Вкладка Action): src-nat (если знаем (не динамический) IP внешнего интерфейса) или masquerade (если не знаем) - To Addresses: IP внешнего интерфейса To Ports: 0-65535 №2: - Chain: dstnat - Src. Address: 192.168.1.0/24 - Dst. Address: Адрес сервера - 192.168.1.1. Установить восклецательный знак (квадратик рядом) - Protocol: 6 (tcp) - Dst. Port: 80 - Action (Вкладка Action): Redirect To Ports: 3128 Переходим на вкладку Filter Rules Создаём правила фильтрации трафика: №1: (Разрешаем ответы на запросы прокси) - Chain: Forward - In. Interface: внешний интерфейс - Action (Вкладка Action): Accept №2: (запрещаем входящие "не правельные" запросы на сервер) - Chain: Input - Connection state: invalid - Action (Вкладка Action): Drop №3: (разрешаем все установленные соединения) - Chain: Forward - Connection state: established - Action (Вкладка Action): Accept №4: (разрешаем все запрошенные соединения) - Chain: Forward - Connection state: related - Action (Вкладка Action): Accept №5: (разрешаем UDP трафик к серверу) - Chain: Input - Protocol: 17 (udp) - Action (Вкладка Action): Accept №6: (разрешаем UDP трафик в интернет) - Chain: Forward - Protocol: 17 (udp) - Action (Вкладка Action): Accept №7: (разрешаем ICMP (пинги) трафик к серверу) - Chain: Input - Protocol: 1 (icmp) - Action (Вкладка Action): Accept №8: (разрешаем ICMP (пинги) трафик в интернет) - Chain: Forward - Protocol: 1 (icmp) - Action (Вкладка Action): Accept №9: (разрешаем интернет нашим PPTP пользователям) - Chain: Forward - Out Interface: Внешний интерфейс - Src. Address List (Вкладка Advanced): PPTP - Action (Вкладка Action): Accept №10: (рапрещаем всё остальное) - Chain: Forward - Action (Вкладка Action): Drop №11: (на всякий случаем запрещаем не верные запросы внутрь сети) - Chain: Forward - Connection State: invalid - Action (Вкладка Action): Drop Собственно всё... Должно работать )) Для добавления пользователя нужно добавить его в конфигурации PPTP и в адрес лист PPTP. И помните в конфигурациях правила должны располагаться в том же порядке в котором они приведены здесь, в смысле, сохраняйте приоритеты )) | Всего записей: 142 | Зарегистр. 18-02-2006 | Отправлено: 17:07 07-12-2009 | Исправлено: Prophion, 18:07 07-12-2009 |
|