Ребята, подскажите как настроить squid для авторизации по ip и mac одновременно.
Хочется чтобы squid пускал тех, кто перечислен в файле /etc/squid/allow_hosts

Содержимое файла /etc/squid/allow_hosts
#ip-address #mac-address
192.168.0.10 xx.xx.xx.xx.xx.xx

и т.д.

То есть в какое правило подсовывать мой следующий аксель ?:

acl allow_hosts src "/etc/squid/allow_hosts"

Не очень понимю !

• squid: авторизация по ip и mac,ipmanyak, 11:20 , 20-Дек-10
  • squid: авторизация по ip и mac,wsnet, 13:28 , 20-Дек-10
    • squid: авторизация по ip и mac,reader, 14:44 , 20-Дек-10
      • squid: авторизация по ip и mac,wsnet, 18:49 , 20-Дек-10
        • squid: авторизация по ip и mac,reader, 21:53 , 20-Дек-10
          • squid: авторизация по ip и mac,wsnet, 01:52 , 21-Дек-10
            • squid: авторизация по ip и mac,reader, 13:04 , 21-Дек-10
            • squid: авторизация по ip и mac,ipmanyak, 08:42 , 22-Дек-10

> Ребята, подскажите как настроить squid для авторизации по ip и mac одновременно.
> Хочется чтобы squid пускал тех, кто перечислен в файле /etc/squid/allow_hosts
> Содержимое файла /etc/squid/allow_hosts
> #ip-address #mac-address
> 192.168.0.10 xx.xx.xx.xx.xx.xx
> и т.д.
> То есть в какое правило подсовывать мой следующий аксель ?:
> acl allow_hosts src "/etc/squid/allow_hosts"
> Не очень понимю !

http://www.linuxsecurity.com/resource_files/server_security/...
Пункт 10.20.
Одним правилом вам не обойтись, поскольку синтаксис акселей по  ip и mac разный, и на каждый  ip и mac нужно свое правило. Указанный вами Файл тут вообще никаким местом.
Более правильно в самой ОС на шлюзе сделать привязки IP к мак адресам с помощью команды
arp -s
А в сквиде выпускать по IP. Если хотите всё сделать в сквиде, то сначала соберите сквид с нужной опцией, как указано в ссылке, и затем делайте пары акселей, типа:
acl ip1 src 192.168.0.1
acl M1 arp 01:02:03:04:05:06

acl ip2 src 192.168.0.2
acl M2 arp 11:12:13:14:15:16

http_access allow M1 ip1
http_access allow M2 ip2
http_access deny all

>[оверквотинг удален]
> А в сквиде выпускать по IP. Если хотите всё сделать в сквиде,
> то сначала соберите сквид с нужной опцией, как указано в ссылке,
> и затем делайте пары акселей, типа:
> acl ip1 src 192.168.0.1
> acl M1 arp 01:02:03:04:05:06
> acl ip2 src 192.168.0.2
> acl M2 arp 11:12:13:14:15:16
> http_access allow M1 ip1
> http_access allow M2 ip2
> http_access deny all

ipmanyak друг спасибо.

1)А в файле то есть никак не получится держать ip и mac ? В конфине сквида как-то расписывать ip и mac для каждого юзера не хочется! Может можно их в разных файлах скажем делать ? Типа этого:

acl allow_ip src "/etc/squid/allow_ip"
acl allow_mac arp "/etc/squid/allow_mac"
http_access allow allow_ip allow_mac
http_access deny all

Так можно поступить ?

2)Если я на шлюзе командой arp -s ip mac  заведу статическую таблицу то верно ли я помимаю что в самом сквиде чтобы разрешить доступ достаточно положим

acl allow_ip src "/etc/squid/allow_ip"
http_access allow allow_ip
http_access deny all

где файл /etc/squid/allow_ip я буду получать при выполнении команды arp - f /etc/squid/allow_ip (после заполнения статической аrp-таблицы) ?

3) Как поддерживать arp -сформированную статически в актуальном состоянии ?
Скажем как удалять ip адреса из нее ?

>[оверквотинг удален]
> ipmanyak друг спасибо.
> 1)А в файле то есть никак не получится держать ip и mac
> ? В конфине сквида как-то расписывать ip и mac для каждого
> юзера не хочется! Может можно их в разных файлах скажем делать
> ? Типа этого:
> acl allow_ip src "/etc/squid/allow_ip"
> acl allow_mac arp "/etc/squid/allow_mac"
> http_access allow allow_ip allow_mac
> http_access deny all
> Так можно поступить ?

так будет проверяться наличие ip и mac адресов в файлах, но сопоставляться не будут

> 2)Если я на шлюзе командой arp -s ip mac  заведу статическую
> таблицу то верно ли я помимаю что в самом сквиде чтобы
> разрешить доступ достаточно положим
> acl allow_ip src "/etc/squid/allow_ip"
> http_access allow allow_ip
> http_access deny all
> где файл /etc/squid/allow_ip я буду получать при выполнении команды arp - f
> /etc/squid/allow_ip (после заполнения статической аrp-таблицы) ?

да
> 3) Как поддерживать arp -сформированную статически в актуальном состоянии ?
> Скажем как удалять ip адреса из нее ?

а смысл? если нет запроса с ip, то ничего к нему и не будет отправляться.

>[оверквотинг удален]
>> acl allow_ip src "/etc/squid/allow_ip"
>> http_access allow allow_ip
>> http_access deny all
>> где файл /etc/squid/allow_ip я буду получать при выполнении команды arp - f
>> /etc/squid/allow_ip (после заполнения статической аrp-таблицы) ?
> да
>> 3) Как поддерживать arp -сформированную статически в актуальном состоянии ?
>> Скажем как удалять ip адреса из нее ?
> а смысл? если нет запроса с ip, то ничего к нему и
> не будет отправляться.

А еще такой вопросик, а что будет с ip-ками которых я не буду вручную заносить с помощью команды arp ip mac, или их нужно вносить в любом случаи ?
Скажем как пример есть подсеть 192.168.0.0
Мне необходимо пустить через squid пользователей 192.168.0.10, 192.168.0.20, 192.168.0.30
а остальных не пускать, я делаю следующее
1) завожу ip-ки в arp таблицу
arp -s 192.168.0.10 01:aa:bb:cc:dd:ee
arp -s 192.168.0.20 02:aa:bb:cc:dd:ee
arp -s 192.168.0.30 03:aa:bb:cc:dd:ee

2) выполняю arp -f /etc/squid/allow_hosts тем самым в файле allow_hosts у меня будут правильные IP-ки и соответствующие им MAC-адреса (всего три строки будет в файле)

3)в squid задаю правило  
acl allow_ip src "/etc/squid/allow_hosts"
http_access allow allow_ip
http_access deny all

3) То есть теперь доступ в сквиде инет будут получать только три IP-адреса, остальные не будут его получать ?

>[оверквотинг удален]
> Скажем как пример есть подсеть 192.168.0.0
> Мне необходимо пустить через squid пользователей 192.168.0.10, 192.168.0.20, 192.168.0.30
> а остальных не пускать, я делаю следующее
> 1) завожу ip-ки в arp таблицу
> arp -s 192.168.0.10 01:aa:bb:cc:dd:ee
> arp -s 192.168.0.20 02:aa:bb:cc:dd:ee
> arp -s 192.168.0.30 03:aa:bb:cc:dd:ee
> 2) выполняю arp -f /etc/squid/allow_hosts тем самым в файле allow_hosts у меня
> будут правильные IP-ки и соответствующие им MAC-адреса (всего три строки будет
> в файле)

в файле /etc/squid/allow_hosts вы должны оставить только ip.

> 3)в squid задаю правило
>  acl allow_ip src "/etc/squid/allow_hosts"
>  http_access allow allow_ip
>  http_access deny all

и только эти ip смогут выйти через squid, а если кто-то другой пропишет себе один из этих ip, то из-за статической ARP-таблицы, работать через squid он не сможет.

но mac-адрес тоже можно изменить.

> 3) То есть теперь доступ в сквиде инет будут получать только три
> IP-адреса, остальные не будут его получать ?

Ребята,спасибо за ответы вам!

У меня проблемка появилась, после применения скрипта в автозагрузку системы:

!/bin/sh
mynet1="192.168.0.";
   /usr/sbin/arp -da > null
   I=1
   while [ $I -le 254 ]
      do
         arp -s $mynet1$I 0:0:0:0:0:0
         I=$(expr $I + 1)
      done
   /usr/sbin/arp -f /squid/allowed_hosts

Построилась таблица-arp все нормально, но вот теперь в системе постоянно выскакивает сообщение:

Kernel: arp: mac attempts to modify permanent entry for ip on em1.
где mac - реальный мак пользователя, ip - айпишник, em1 - сетевуха.

То есть я тестирую все это на одной виртуальной машине (клиенте), ну и фря как шлюз конечно.
Как только я поменял у клиента ip на тот, которому в моей статической arp-табличке в качестве mac-адреса прописан фиктивный - 00:00:00:00:00:00 так тут же начинает возникать это сообщение: Kernel: arp: mac 00:0c:29:88:6f:37 attempts to modify permanent entry for ip 192.168.0.30 on em1.

Как то можно это обойти ?

>[оверквотинг удален]
> Построилась таблица-arp все нормально, но вот теперь в системе постоянно выскакивает сообщение:
> Kernel: arp: mac attempts to modify permanent entry for ip on em1.
> где mac - реальный мак пользователя, ip - айпишник, em1 - сетевуха.
> То есть я тестирую все это на одной виртуальной машине (клиенте), ну
> и фря как шлюз конечно.
> Как только я поменял у клиента ip на тот, которому в моей
> статической arp-табличке в качестве mac-адреса прописан фиктивный - 00:00:00:00:00:00
> так тут же начинает возникать это сообщение: Kernel: arp: mac 00:0c:29:88:6f:37
> attempts to modify permanent entry for ip 192.168.0.30 on em1.
> Как то можно это обойти ?

с 192.168.0.30 приходит широковещательный пакет или arp-запрос к шлюзу, и происходит попытка обновить arp-кеш, а так как запись статическая , то и получаете уведомление о этом.

по моему так, как отключить уведомление я не знаю.

>[оверквотинг удален]
> Построилась таблица-arp все нормально, но вот теперь в системе постоянно выскакивает сообщение:
> Kernel: arp: mac attempts to modify permanent entry for ip on em1.
> где mac - реальный мак пользователя, ip - айпишник, em1 - сетевуха.
> То есть я тестирую все это на одной виртуальной машине (клиенте), ну
> и фря как шлюз конечно.
> Как только я поменял у клиента ip на тот, которому в моей
> статической arp-табличке в качестве mac-адреса прописан фиктивный - 00:00:00:00:00:00
> так тут же начинает возникать это сообщение: Kernel: arp: mac 00:0c:29:88:6f:37
> attempts to modify permanent entry for ip 192.168.0.30 on em1.
> Как то можно это обойти ?

А смысл? Для чего делается статическая arp таблица? Для того, чтобы фиксировать и отлавливать тех, кто пытается сменить мак или айпи. Насчет сквида, я вам уже говорил, нужны пары ip и mac и причем в операторе http_access, отдельно держать маки и айпи это импоссибл. Вы можете работать с файлом, но в нем нужно держать уже готовые правила и применять оператор include на этот файл в конфиге сквида,  но это тоже самое, что в squid.conf их сразу написать.

P.S.
Может сделать аутентификацию по логину и паролю?