Hello! Господа, а есть в природе у сабжа возможность делать authentication + authorization в одном флаконе? Вот чего от него нужно добиться: 1. Блокируются запросы с ip из списка 1 (назовем его так). 2. пускать в инет без логин и пароля пользователей из списка 2 3. остальным - вывод приглашения для ввода логина и пароля. При этом - нужно реализовать доступ не просто по login&pass, а и по login&pass&src_ip (должны жить эти два варианта). Фокус в следующем: а) пункт 1 и 2 можно реализовать на squid.conf через ACL, но они статические, а мне нужно брать эти ip из динамического списка (при изменении которого, не нужно будет рестартовать squid - процесс 1.6GB в памяти. Машинка сек на 20 замирает полностю :) . юзверям не приятно). б) для реализации пункта 3 как-то не нашел готовой auth компоненты, куда будет передаваться login,pass,src_ip. Если есть что-то готовое - жду с нетерпением ответа, если нет - помогите, куда копать в сурсах для дописывания такой логики. Еще вопрос - у squid в FAQ описано, что он умеет метод DELETE по HTTP/1.1. А кто из FTP-прог strict HTTP/1.1 и работает через него DELETE на ftp сервере? Еще - в логику access.log забито, что поле bytes содержит только информацию о трафике, который приехал к клиенту. А как заставить его писать туда и исходящий трафик? Если готовых патчей нет - просьба ткнуть в нужно место logfile.c, если я правильно понял, что именно там это делается. Если нет - ткнуть в правильную часть сурсов. Заранее спасибо. -- Edward Melnik. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Jan 28, 2005 at 01:39:28AM +0200, Edward Melnik wrote:
Hello!
Господа, а есть в природе у сабжа возможность делать authentication + authorization в одном флаконе?
Вот чего от него нужно добиться: 1. Блокируются запросы с ip из списка 1 (назовем его так). 2. пускать в инет без логин и пароля пользователей из списка 2 3. остальным - вывод приглашения для ввода логина и пароля. При этом - нужно реализовать доступ не просто по login&pass, а и по login&pass&src_ip (должны жить эти два варианта).
Фокус в следующем: а) пункт 1 и 2 можно реализовать на squid.conf через ACL, но они статические, Я б смотрел в сторону redirector'ов - кажется им передаётся username, можно дописать чтоб чего не лень передавалось. Из редиректора можно хоть в БД лезть - только редиректоров тогда побольше нужно запустить (40 простеньких переписывальщиков URL хватало для хостинга вполне).
а мне нужно брать эти ip из динамического списка (при изменении которого, не нужно будет рестартовать squid - процесс 1.6GB в памяти. Машинка сек на 20 замирает полностю :) . юзверям не приятно). Эта у вас кеш на 80гигов :) ? или forw/via db включено? Было очень занятно - процесс с forw/via db рос до бесконечности - ну, типа IP адресов в мире много :).
б) для реализации пункта 3 как-то не нашел готовой auth компоненты, куда будет передаваться login,pass,src_ip.
Еще - в логику access.log забито, что поле bytes содержит только информацию о трафике, который приехал к клиенту. А как заставить его писать туда и исходящий трафик? Если готовых патчей нет - просьба ткнуть в нужно место logfile.c, если я правильно понял, что именно там это делается. Если нет - ткнуть в правильную часть сурсов.
А ещё оно ни разу не содержит инфы о размерах заголовков, кажись :). Эт типа намёк :). -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Jan 28, 2005 at 10:42:50AM +0200, Paul Arakelyan wrote:
Я б смотрел в сторону redirector'ов - кажется им передаётся username, можно дописать чтоб чего не лень передавалось. Из редиректора можно хоть в БД лезть - только редиректоров тогда побольше нужно запустить (40 простеньких переписывальщиков URL хватало для хостинга вполне). это уже нашел как сделать - через
# TAG: external_acl_type # This option defines external acl classes using a helper program to # look up the status # # external_acl_type name [options] FORMAT.. /path/to/helper [helper arguments..]
20 замирает полностю :) . юзверям не приятно). Эта у вас кеш на 80гигов :) ? или forw/via db включено? Да. Кеш около того :) Еще не забитый даже под свои размеры (lru).
ткнуть в правильную часть сурсов. А ещё оно ни разу не содержит инфы о размерах заголовков, кажись :). Эт типа намёк :). Намек мне не понятен. Насчет заголовков - есть такое.
-- Edward Melnik. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
On Fri, Jan 28, 2005 at 11:48:40AM +0200, Edward Melnik wrote:
On Fri, Jan 28, 2005 at 10:42:50AM +0200, Paul Arakelyan wrote:
Я б смотрел в сторону redirector'ов - кажется им передаётся username, можно дописать чтоб чего не лень передавалось. Из редиректора можно хоть в БД лезть - только редиректоров тогда побольше нужно запустить (40 простеньких переписывальщиков URL хватало для хостинга вполне). это уже нашел как сделать - через
# TAG: external_acl_type # This option defines external acl classes using a helper program to # look up the status # # external_acl_type name [options] FORMAT.. /path/to/helper [helper arguments..]
20 замирает полностю :) . юзверям не приятно). Эта у вас кеш на 80гигов :) ? или forw/via db включено? Да. Кеш около того :) Еще не забитый даже под свои размеры (lru).
ткнуть в правильную часть сурсов. А ещё оно ни разу не содержит инфы о размерах заголовков, кажись :). Эт типа намёк :). Намек мне не понятен. Насчет заголовков - есть такое. Просто весьма сделать модификацию сквида, что склеит заголовки с телом и прибавит кусочек тела (в лоб такое может и хрен полезно - но немного доработать - и вполне решение ;) ).
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message
participants (2)
-
Edward Melnik
-
Paul Arakelyan