Situaciqta e slednata,vsichki v mrejata polzvat net prez
 squid-a.Znam che moje prez squid.conf da se spre dostypa na
 dadeni ip-ta ot vytreshnata mreja do dadeni vynshni,no
ideqta mi e tova da stane s iptables a ne prez squid.
 Ne sym mnogo na qsno kakyv e tochniq princip na
 komunikaciqta na daden workstation sys squid,no probvah
slednoto neshto i to ne se poluchi:
iptables -A INPUT -s 192.168.10.10 -d 64.12.164.153 -j DROP

 Syshtoto neshto go probvah i vyv FORWARD chain-a i tam
udarih pak na kamyk
 iptables -A FORWARD -s 192.168.10.10 -d 64.12.164.153 -j
DROP

Nqkakvi idei?

Ето ти един вариант за това ...
 Със следните редове се разрешава достъпът на потребител с
 MAC адрес  XX:XX:XX:XX:XX:XX и IP адрес yy.yy.yy.yy (трябва
и двете да са верни)


 /sbin/iptables -A INPUT   -i eth0 -m mac --mac-source
XX:XX:XX:XX:XX:XX  -j ACCEPT

 /sbin/iptables -A INPUT   -i eth0 -s yy.yy.yy.yy -m mac
--mac-source ! XX:XX:XX:XX:XX:XX - j DROP

където eth0 е интерфейса ти с потребителите.



Кольо Колев
Biotronica Ltd.

 Това е един вариант за блокиране по MAC адрес
XX:XX:XX:XX:XX:XX (по принцип единият ред е излишен ;) )

 /sbin/iptables -A INPUT   -i eth0 -m mac --mac-source
XX:XX:XX:XX:XX:XX -j DROP

 /sbin/iptables -A FORWARD -i eth0 -m mac --mac-source
XX:XX:XX:XX:XX:XX -j DROP

където eth0 е интерфейса ти с потребителите.



Кольо Колев
Biotronica Ltd.

 Kolio,az kato gledam nqma razlika mejdu tvoite i moite
 pravila s tazi razlika che ti slagash i proverka za mac
 adresa.Bi trqbvalo da raboti i samo po IP kato sledvame
 logikata.Znachi za klientitte koito sym im pusnal nat nqma
 problemi da im zabranqvam i razreshavam razni
 site-s,problema e za tezi sys squid koito sa,che neshto tezi
pravila za tqh ne rabotqt

priqtel neshtata pri teb sa obyrkani otkym ideqta oshte.
 Znachi iptables moze da filtrira vhodqshti packet-i prez
 INPUT chain-a t.e. mozesh da otrezesh primerno TECHNO-LINK
 IZTZQLO da ne postypva v INPUT chain-a ti, no ne mozesh da
 mu kazesh da se drop-i samo za 192.168.xx.yy zashtoto kakto
 si napisal ti NQMASH routeriane, a Inet-a ti minava prez
SQUID.
 Edinstveniq ti variant e da napishesh ACL v Squid-a.Ne e
trudno iska samo da probvash.

 btw.FORWARD chain-a ti e za MASQUERADE taka che i toi kato
 INPUT ne moze da ti pomogne ako user-ite ti se vryzvat samo
prez SQUID navyn.

 Fallen i az sym na tova mnenie kato tebe,no ot chisto
 lubopitstvo popitah dali kato ima i squid moje da se
 kontrolirat prez iptables zaqvkite na clientite koito
 polzvat neta prez squid-a,inache go znam che stava prez
squid.conf

 nqmash li route-rane na Inet navytre v mrezata ne mozesh
taka da gi kontrolirash.
 A za MAC-predpolagam Kolev se e obyrkal poneze chesto ima
 zaqvki tuk ot sorta na "userite si smenqt IP-tata i kradat
INET" i za tova ti go e napisal predpolagam.
 Za Squid-a taka si sedqt neshtata - shte trqbva mai da se
 primirish ili da pochnesh da route-rash i da pravish
ogranicheniqta po iptables.
 Spored men Squid e dostatychno moshten da go napravish nego
da ogranichava.
Uspehi pri ACLs :))

Извинявай, не съм прочел внимателно въпроса ти ...

Ето ти линк с ACL ограничения
http://www.squid-cache.org/Doc/FAQ/FAQ-10.html#ss10.16


Това може и да ти свърши работа (squid.conf)
======================================================

# Блокиране на IP yy.yy.yy.yy 
# до free.techno-link.com

acl special_client src yy.yy.yy.yy
acl special_url    url_regex ^http://free.techno-link.com$

http_access deny special_client special_url



Кольо Колев
Biotronica Ltd.

 Mersi Koli,to ne beshe problem da si go napravq sam kakto i
napravih de,no vse pak mersi.
 Iskah samo da opitam dali moga po nqkakyv nachin da
 izpolzvam iptables za ogranichavane dostypa na userite preza
squid do dadeni sites naprimer.
 Samo che kakto se okazva che mai mai nemoje,to togava ako
 imam iptables i squid to iptables se okazva bezsilen ot
stranata na userite-ako sym razbral pravilno de ?

 Абе момчета, става доста по-лесно (ако не използва
transperant proxy де).

 ==> iptables -A INPUT -s [workstation_ip] -d [squid ip] -p
tcp --dport [sqiud-port] -j DROP

Аре със здраве

 Razor, taka kato te slusham mai ne ti e bilo iasno kakvo
tochno pravi Squid-a.
 Znachi toi browsva vmesto klienta, otvaria URL-a vmesto
 klienta i posle go PRE-predava na klienta. Samia klient
 prashta zaiavkite do Squid mashinata i ot neia si poluchava
 i otgovora, t.e. klienta si obshtuva samo i edinstveno s
 edno IP - tova na proxito. Togava kak sas iptables shte
slagash pravila na klienta???

 Abe na mene mi e qsno no mi beshe interesno dali moga po
 nqkakyv nachin da preseka komunikaciqta na clienta sys
 squida kato sloja nqkakyv rule na input chaina ot kym
 LAN-a.Tova shte reche sega kato gledam mneniqta che ima li
 squid prosto iptables ne vaji ot stranata na LAN-a i po
 konkretno za input chain-a zashtoto edinstvenoto logichno
 mqsto da preseka po nqkakyv nachin komunikaciqta e tochno
INPUT-a

   Priemete edin komentar: dosta ste dosadni s tova koi kakvo
 iskal da kaje i kakvo to4no bil si mislel i kak to4no go
zasukal, pyk toi takova i onakova...
   I niakoi hora praviat to4no kakvoto se ochakva v tozi
 forum - da kajat tolkova kolkoto znaiat ako iskat. Evala na
 tiah! A drugi - se 4udiat kak i kogo da izkritikuvat, za
 tova, 4e znael ili ne kak rabotiat neshtata. /Mai i az sega
kritikuvam ama to ve4e ne se tyrpi./
   A sega po temata: ideiata ti Razor e interesna, no sled
 kato pusnah edin tcpdump na paketi nasocheni kym edin proxy
 server stignah do prostoto zakluchenie: v zaglavnata chast
 na vyprosnie ip paketi sorsa e 192.168.10.10 /client/, a
 destination-a e 192.168.10.1 /ip-to na squida/. Nikyde tam
 ne se spomenava, 4e ti iskash da se svyrjesh s
 www.domain.com. Tazi informacia e v tialoto na paketa, a
 iptables tam ne gleda. Tova e. Dali ima nachin da poglednesh
 tam - ne znam! Priemam komentari, zashtoto za kazanoto
po-gore ne sym siguren 100%.

za trasparent proxy li ide rech ?
 ako e za trasparent tia deny rulove trea da sa ti predi
redirect rule inache nishto ne praish squida si gi gulta
ako ne e transparent proxy sorry :> ama mai ne vijdam nachin

 Rosi,mersi pich,i az do takova mnenie stignah no samo po
 pytq na logikata de,i tykmo shtqh da pitam nqkoi dali znae
 tochno kak e formulirana zaqvkata kym proxy server
:)),zashtoto drugo logichno obqsnenie prosto ne namirah.
Mersi mnogo za izkazanite mneniq