Можно ли настроить доступ в Интрернет по ip ,используя связку squid + squidGuard, на pfSense?

Question

[Nabi Alimetov]

Доброе утро!
Как организовать доступ в Интернет через squid + squidGuard по ip? Т.е. авторизация происходит по ip?

Comments

[Евгений]

Можно использовать разные варианты авторизации. В каком режиме настроен сквид?

[Nabi Alimetov]

не transparent proxy.

[Nabi Alimetov]

Евгений: а как использовать разные варианты? если я открываю доступ на всю подсеть, то уже по ip я не смогу давать Интернет.

[Евгений]

alnabi: pfSense в первую очередь роутер и файрволл. Прокси это дополнительный функционал. В режиме не прозрачного прокси благоразумно правилами файрволла запретить прямой трафик на порты 80 и 443. Если этого не сделать, то люди, не указавшие настройки прокси пройдут напрямую. Далее в настройках squid уже можно определить настройками кому и что можно. Можно дать доступ всей сети, но запретить кому-то. Можно поставить squidguard (или аналог) и фильтровать контент по группам. Можно прикрутить ldap авторизацию и несмотря на то, что доступ разрешен для всей подсети, без авторизации по юзеру он будет закрыт. Вопрос слишком общий, чтобы ответить на него конкретно.

[Nabi Alimetov]

Евгений: все понял, спасибо. А можно какой-то группе дать интернет по ip-адресам, а остальным по ldap? И если можно, то как?

[Евгений]

alnabi: думаю можно, но сам не настраивал такой сценарий.

[Nabi Alimetov]

есть возможность нарезать всю локальную сеть на подсети через CIDR, и заблокировать тех, кому не нужен через Banned hosts addresses.

[Nabi Alimetov]

также можно создать алиас с ip тех, кому нужен доступ. А потом уже написать два правила: одно для доступа, и одно для блокирования остальных.

Answer 1

[Nabi Alimetov]

Можно нарезать на подсети по CIDR.