фряха (делаем шлюз)

[SergSS]

В общем ситуёвина такая:
есть АД на винде, хочется сделать шлюз на фряхе что бы:
1. Брал юзеров из АД
2. Считал трафик (отключал при переборе, разделял на томск/нетомск)

Хотелось бы не использовать сквид, а как то без прокси всё это настроить.
Собственно вопрос - такое возможно без сквида сделать?  (имеется ввиду без прокси).

[never hood]

Хотелось бы не использовать сквид, а как то без прокси всё это настроить.
Собственно вопрос - такое возможно без сквида сделать?  (имеется ввиду без прокси).

кроме как прокси больше некому аутентифицировать пользователей, поэтому ПОЧТИ нельзя...
Почти, потому как есть такой проект, NuFW, т.е. "аутентифицирующий файервол", который получает промаркированные пакеты от клиентов и пропускает их, делая еще и NAT, во внешку.
Все хорошо, если не считать "маленькой" детальки - виндовый клиент (а данное решение требует клиентского ПО) платный (демка бесплатна).
Собственно сквид является даже более удобным решением, с точки зрения централизации усилий на сервере, поскольку никакого клиентского софта не требует (настройки браузера - мелочь).

PS. Имею готовое решение (на Федоре, правда, но это не существенно). Ограничения по объему не реализовывал, поскольку пользователи (и начальник) могут контролировать использование инета через вэб-морду. Кроме вэба учитывал еще и почтовый трафик. Если интересно - в личку.

[Safir]

В общем ситуёвина такая:
есть АД на винде, хочется сделать шлюз на фряхе что бы:
1. Брал юзеров из АД
2. Считал трафик (отключал при переборе, разделял на томск/нетомск)

Хотелось бы не использовать сквид, а как то без прокси всё это настроить.
Собственно вопрос - такое возможно без сквида сделать?  (имеется ввиду без прокси).

Не знаю, как это реализуется в BSD, но в Linux это делатся через IPTable + ULOGD + tail -f на лог-файл с перенаправлением на скрипт, который считает трафик по логам и втыкает, при переборе, запрещающее правило. Второй вариант - собственный бэкэнд к ULOGD, который и будет сам всё счиатть. Насколько я знаю, в BSD есть аналогичный е инструменты.

Только это без авторизации, а тупо по IP. А для авторизации нужен прокси. Не хочешь сквид - ставь что-нибудь другое. кстати, как возможный вариант - наваять что-нибудь авторизующее пользователя и втыкающее разрешающее правило в файервол. Только её, прогу, нужно будет со считалкой завязать, чтобы конфликтов небыло.

[SergSS]

Вай, ужас ребята, я новичек в этом деле  вот пытаюсь понять как там всё завязано  
как бы получается что возможность самбы авторизировать через ntlm или ldap может использовать тока сквид или как? Я так понимаю самба авторизирует ну и там дальше можно что то сделать с этим авторизированным пользователем

[never hood]

Вай, ужас ребята, я новичек в этом деле  вот пытаюсь понять как там всё завязано  
как бы получается что возможность самбы авторизировать через ntlm или ldap может использовать тока сквид или как? Я так понимаю самба авторизирует ну и там дальше можно что то сделать с этим авторизированным пользователем

самба, как сервер, тут не причем.
сквиду нужен некий аутентфикатор, который умел бы общаться нужным образом с клиентом, например реализуя ntlm схему и с базой пользователей (например с самбой или с AD), и говорил бы сквиду "OK".
для сквида это программка ntlm_auth.
Надо заметить, что несмотря на вхождение пользователей в домен это не избавит их от необходимости вводить пароль при доступе к прокси, поскольку они (аутентификаторы) не реализуют (на данный момент, по крайней мере) механизм SSO.

[deepwalker]

Уже готов sspi аутентификатор и под вин и под никс.

[never hood]

Уже готов sspi аутентификатор и под вин и под никс.

ссылочку, плиз... любопытно и актуально...

[SergSS]

самба, как сервер, тут не причем.
сквиду нужен некий аутентфикатор, который умел бы общаться нужным образом с клиентом, например реализуя ntlm схему и с базой пользователей (например с самбой или с AD), и говорил бы сквиду "OK".
для сквида это программка ntlm_auth.

Т.е. получается что вся конструкция работает примерно так: сквид с помощью нтлм получает, грубо говоря, имя пользователя, далее сравнивает с самбовым списком, которая в свою очередь является как бы клиентом *никсов для АД виндовой? Или самба тут выступает просто в роли посредника сквид-АД (т.е. без самбы невозможно вообще в домене зарегиться)?
чё то я роли самбы догнать не могу в этой цепочке

Надо заметить, что несмотря на вхождение пользователей в домен это не избавит их от необходимости вводить пароль при доступе к прокси, поскольку они (аутентификаторы) не реализуют (на данный момент, по крайней мере) механизм SSO.

странно - я сделал сквид(ntlm)+самба и у меня логин с паролем не спрашивал когда обращался виндовый клиент к прокси.

[deepwalker]

Про интересное и актуальное : ))
Я уже собрал себе squid с аутентификатором, но еще не пробовал.

В принципе если имена юзеров английские, то в общем то проблем не будет.

Брать сей чудесный аутентификатор пока только из cvs.

Если сквид брать под винду - то там родной, виндовый, уже год как валяется.

-----------
To SergSS:
По сути - ntlm устарел. Прочитай про керберос. Вот только с sspi дружат вроде как только лиса/опера и седьмой осел. Те на 6ку расчитывать не приходится. Ну да верстальщики только вздохнут с облегчением : ))

[SergSS]

Объясните дураку что такое "хелпер" и для чего он нужен.
Про самбу и сквид уже накрвырял - почитал, вроде чё то так понятно смутненько

Я так предполагаю что вот такая строчка спасает от ввода пользователями логина и пароля
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMEN\\GruppaUzeroff

[never hood]

Объясните дураку что такое "хелпер" и для чего он нужен.

хелпер (helper - помощник) внешняя программа помогающая сквиду делать аутентификацию пользователей. сквид запускает эту внешнюю программу и ждет от него "OK" или "ERROR". До тех пор пока хелпер выдает ОК (а он должен делать это в бесконечном цикле) юзер получает доступ, иначе нет.
выделенное жирным и есть хелпер:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMEN\\GruppaUzeroff