El 13/11/18 a las 10:39, Gustavo Valmaña Villalonga escribió: > > Ya te entiendo mano, lo que peudes hacer es crear una acl con ficheros > de las IP, otra con ficheros de las MAC y la de los grupos, y luego el > http_access con las 3 acls, este es un ejemplo de como lo tengo yo > > ###--- Declarando ACL para Squid desde las Externas > acl nacional external acl_nav_nac > acl internacional external acl_nav_inter > acl internet_full external acl_nav_inter_full > acl informaticos external acl_nav_informaticos > > #ACL PARA LAS MAC > acl mac_informaticos arp "/etc/squid3/datos/access/mac_informaticos" > acl mac_internet arp "/etc/squid3/datos/access/mac_internet" > acl mac_nacional arp "/etc/squid3/datos/access/mac_lan" > > #ACL PARA LAS IP > acl ip_informaticos src "/etc/squid3/datos/access/ip_informaticos" > acl ip_internet src "/etc/squid3/datos/access/ip_internet" > acl ip_nacional src "/etc/squid3/datos/access/ip_lan" > > ############ ACCESO A NAVEGACION INFORMATICOS > ###################################### > http_access allow informaticos ip_informaticos mac_informaticos > > ##################### ACCESO A NAVGACION INTERNET PLENA > ############################# > http_access allow internet_full ip_internet mac_internet !no_updates > !sitios_porno !palabras_denegadas !dominios_negados > > ######################## ACCESO A NAVEGACION INTERNACIONAL > ############################ > http_access deny redes_sociales !horario_sociales_1 !horario_sociales_2 > http_access deny correos_externos > http_access allow internacional ip_internet mac_internet !no_updates > !sitios_porno !palabras_denegadas !dominios_negados > > ################## ACCESO A NAVEGACION NACIONAL > ####################################3 > http_access allow nacional ip_nacional mac_nacional cuba !no_updates > !sitios_porno !palabras_denegadas !dominios_negados > http_access allow nacional ip_nacional mac_nacional sitios_permitidos > !no_updates !sitios_porno !palabras_denegadas !dominios_negados > > > mas o menos es algo como eso, debes en cada fichero poner las MAC y > las IP, y si no coincide que la solicitud este en el grupo de las IP, > MAC y usuarios no las acepta, y para mayor seguridad permite solo que > los usuarios inicien sesion en las pc correspondiente del directorio > activo y ya > > On 13/11/18 3:29 p. m., Jesús Miguel wrote: >> >> En este caso que doy acceso por miembros de ese grupo no me ancla >> ip+mac+user no? Entonces estoy tratando de ver eso ahí manteniendo la >> misma conf en squid >> >> >> >> O me equivoco?... >> >> >> >> *De:*Gustavo Valmaña Villalonga [mailto:adredge...@infomed.sld.cu] >> *Enviado el:* martes, 13 de noviembre de 2018 10:18 a.m. >> *Para:* gutl-l@listas.jovenclub.cu >> *Asunto:* [Gutl-l] Re: squid vs AD >> >> >> >> Que queires decir con que queda en evidencia ip+mac+user ? >> >> On 13/11/18 3:15 p. m., Jesús Miguel wrote: >> >> Ya logré autenticar en base a mi controlador de dominio; aclarar >> lo hice habilitando un grupo para la navegación a Internet >> (InternetAccess) pero me surge la duda de esta forma la >> combinación ip+mac+user quedaría en evidencia no?... cómo pudiera >> afinar esto un poco más… >> >> >> >> sugerencias >> >> saludos >> >> >> >> _______________________________________________ >> >> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu >> <mailto:gutl-l@listas.jovenclub.cu> >> >> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu >> <mailto:gutl-l-le...@listas.jovenclub.cu> >> >> >> _______________________________________________ >> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu >> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu > > _______________________________________________ > Gutl-l mailing list -- gutl-l@listas.jovenclub.cu > To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
ahí tampoco queda anclada la ip correspondiente con su mac, pues no casas dicha mac con dicha ip. solo creas un grupo y cualquier coincidencia en dicho grupo macheará y autenticará dicho usuario. para eso tienes que crear una acl por cada usuario mac e ip, y casarlas con http_replay y si coinciden squid validará entonces en otra acl de tipo http_access la autenticación de dicho usuario y aplicará políticas por los grupos, otro inconveniente el squid tiene que estar en la misma red de los usuarios para que pueda escuchar las mac por arp, como evitar esto, anclar las mac + ip vía dhcp, solo asignará ip a siempre a la misma mac, y el usuario no podría cambiar esto, de esta forma ya solo usaría acl de tipo ip en squid, evitando la carga por el uso de ARP y dichas acl, no necesariamente tiene que estar el servidor proxy en la misma lan de los clientes. y servir de proxy a usuario que se encuentren remotos por ejemplo en una VPN o APN corporativo. Por otra parte debes asegurar la autenticación con mecanismos que no sean basic, porque sino transmitirías los password por toda la red en texto claro. Ya para esto la recomendación es implementar la autenticación vía kerberos. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@teknik.io Brascuba Cigarrillos S.A. La Habana. Cuba. “Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. Albert Einstein”
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Gutl-l mailing list -- gutl-l@listas.jovenclub.cu To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
