Терминалку, на мой взгляд можно разграничить только по авторизации пользователя в squid'е, а где ты возьмешь пользователей сам решищь...

serg1905меня смущает текст одной заметки в инете:
цитирую:
Сразу важное предупреждение: авторизация и прозрачный прокси несовместимы! Придется выбирать что-то одно. Второе предупреждение: авторизация через прокси позволит ограничить доступ в Интернет только по HTTP протоколу. Остальные протоколы: FTP, SMTP, POP3 и другие будут спокойно продолжать работать через NAT.

т.е. автор ошибается?
Все правильно, прозрачный прокси и авторизация по паре имя/пароль несовместимы, но если у тебя есть домен можно устроить прозрачную авторизация для пользователя, используя так называемую Integrated windows authentication, кажется так она пишется, и самому польpователю не надо будет вводить, только прописать проксик в браузере. При этом хождение по остальным протоколам можно запретить, странно еще то, что указан ftp, его тоже можно пустить через прокси...

Журавлев Дениса если сквид используется как прозрачный прокси через маршрутизацию, тогда там вообще никакая авторизация невозможна, ни парольная ни безпарольная.
ну авторизация действительно там невозможно, единственно, что поимеете так это статистику по каждому ip

serg1905Параллельно возникает вопрос, а как потом логи сквида разбирать.
Обычно люди используют sarg, а вообще инструментов для этого есть море...

Журавлев ДенисSergey Orlovпропущено...
ну авторизация действительно там невозможно, единственно, что поимеете так это статистику по каждому ipправда в случае терминального сервера, там будет только его ip
Вот поэтому то прозрачный прокси и терминальный сервер, вещи в некотором смысле несовместимые...

Dimitry Sibiryakov,
Ну как они без ната то в инет ходить будут....

serg1905,
Еще раз повторюсь.
Самая большая сложность заключается в том, что IE. который ты будешь юзать на терминале, без указания ip-прокси и порта прокси в нем, никогда не даст окошко авторизации, в результате этого, при анализе логов squid, ты сможешь собрать статистику по ip терминалки, но не по пользователям, которые на нем работают. Отсюда и вывод о невозможности аутенфицировать пользователей при прозрачном сквиде.
Что надо сделать,
1. надо на роутере принудительно перенаправить запросы на инет c порта 80 на порт squid'а,
2. в свойствах браузеров пользователей принудительно прописать ip прокси и его порт
3. настроить сам squid, чтобы запросы аутенфикации он переправлял на какую-нибудь систему, это может быть и AD и LDAP и вообще черт в ступе...

Ну и последнее., если хочется чтобы аутенфикация проходила без участия пользователя, для этого использовать для аутенфикаиции ту систему, где авторизуются пользователи на входе, например AD, тогда в свойствах IE надо ставить галочку, обычно она стоит, использовать Integrated windows authentication...

Толкнем воду в ступе...

Журавлев ДенисSergey Orlov,
1. надо на роутере принудительно перенаправить запросы на инет c порта 80 на порт squid'а,
нафига?
А тогда, если ты забыл указать в браузере, что работаешь с проксей, запрос пойдет не на проксик, а дальше по файеру и может быть конечном итоге попадет на нат....

Dimitry SibiryakovSergey OrlovНу как они без ната то в инет ходить будут....

Через прокси, ясен пень. Он для того и существует.

Назначение проксика - кеширование данных, которые идут от клиента и к клиенту, а трансляцией адресов из приватных в "белые" он не занимается.
Dimitry,
у тебя наверняка есть *nix в качестве роутера в инет, ну так останови на нем нат, а потом расскажи всем своим пользователям, что ты белый и пушистый...