我需要一种方法来限制用户 ID (proxy_auth) 仅来自真实用户 PC (源 IP)。因为:用户 X 从另一个用户 (boss 用户) 那里借用了一个用户 ID (登录名),并且可以不受限制地访问所有网站。我需要限制用户 ID 登录名只能从真正属于此用户 ID 登录名的源 IP (来自用户) 进行身份验证
这能做到吗?
答案1
您可以尝试以下操作
acl local_clients proxy_auth REQUIRED
acl BOSS proxy_auth boss
acl boss_local_ip src 192.168.127.10
http_access allow local_clients BOSS boss_local_ip
http_access deny all
答案2
谢谢!我确实喜欢你的说法,但需要做一些调整:
acl boss_cnn proxy_auth REQUIRED
acl boss_login proxy_auth bossusername
acl boss_ip src 192.168.0.1
http_access allow boss_cnn boss_login boss_ip
http_access deny boss_cnn boss_login !boss_ip
注意这两行 http_access 的顺序。首先我允许访问,但这里有一个警告,允许不必要的 acl(如被拒绝的域)。所以最后,当此登录来自所有 ip <> ip boss 时,我拒绝此登录的 proxy_auth REQUIRED(在 acl cnn 中)
答案3
请参考案例:
使用 ADS 身份验证:只允许特定用户进行代理认证并阻止所有其他广告用户。
acl 全场时间 MTWHFSA 00:30-23:59
auth_param 基本程序 /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param 基本子项 5
auth_param 基本领域 SimpleWall
auth_param 基本凭证ttl 2 小时
acl avdhoot proxy_auth avdhoot
acl chetan proxy_auth chetan
acl sharad proxy_auth sharad
acl satish proxy_auth satish
acl sujit proxy_auth sujit
acl Bad_URLs dstdomain -i .youtube.com .fbstatic .fbcdn.net .facebook.com .rediff.com
acl 下载策略 rep_mime_type -i ^video/mp4$ ^video/mpeg$
acl 上传策略 req_mime_type -i ^image/png$
acl Banned_Patterns url_regex -i .[Ii][Ss][Oo]$
acl Port_Based_Policy 端口 21
acl Ip_Based_Policy 目标 208.64.57.152
拒绝信息 错误网址 错误网址
拒绝信息 下载政策 下载政策
拒绝信息上传策略上传策略
拒绝信息 禁止模式 禁止模式
拒绝信息基于端口的策略基于端口的策略
拒绝信息 基于 Ip_Based_Policy 基于 Ip_Based_Policy
denied_info 全职 全职
最后的底线:拒绝所有其他广告用户。
acl maped proxy_auth avdhoot chetan sharad satish sujit
acl simplewall proxy_auth 必需
http_access 拒绝 simplewall !maped