https://www.opennet.ru/openforum/vsluhforumID1/92014.html Доброе время суток!<br>Есть вопрос к профам FreeBSD.<br><br>Был долги и мучительный опыт сборки прозрачного прокси squid на freebsd<br>Получилось только после пересборки ядра.<br>Но выяснилось что авторизация в squid в прозрачном режиме не возможна.<br>Из опыта знаю что в freebsd нет слого невозможно.<br><br>Какие могут быть алтернативние решения вплоть до другого софта кроме squid.<br>Может уже есть готовое решение.<br>В какую сторону стоит искать.<br> https://www.opennet.ru/openforum/vsluhforumID1/92014.html#10 Tue, 30 Aug 2011 01:49:39 GMT А есть такой вопрос, имеется сервер поднят сквид, фаервол, все это натится, <br>запросы на 80 порт редиректятся на прозрачный прокси, если я например <br>прописываю в браузере прокси то он меня пускает спокойно так как в конфиге сквида прописано разрешение моей локалки, а можно сделать имено на не прозрачный прокси авторизацию, а прозрачный гулял себе, например я буду заходить с внешки!?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92014.html#9 Tue, 30 Aug 2011 01:46:54 GMT А есть такой вопрос, имеется сервер поднят сквид, фаервол, все это натится, запросы на 80 порт редиректятся на прозрачный прокси, если я например прописать в браузере прокси возможна авторизация!? например свнешки? <br><br> https://www.opennet.ru/openforum/vsluhforumID1/92014.html#8 Thu, 28 Jul 2011 11:24:46 GMT У меня стоит Freebsd с прозрачным squid а авторизацию делает микротик. Выстроено линейно, тоесть '<br><br>локалка ------ микротик ------ фри ------глобал<br><br>Какие минусы у системи?<br> https://www.opennet.ru/openforum/vsluhforumID1/92014.html#7 Thu, 28 Jul 2011 07:57:47 GMT http_port 3128<br>http_port 3130 transparent<br>auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/passwd<br>auth_param basic children 5<br>auth_param basic realm <br>auth_param basic credentialsttl 1 hours<br>acl LOCAL proxy_auth REQUIRED<br>acl LocalNet src 192.168.0.* <br><br>ну и т. д. <br>+ IPFW заворачивает на определенный порт определенный айпи !<br> https://www.opennet.ru/openforum/vsluhforumID1/92014.html#6 Thu, 28 Jul 2011 07:53:31 GMT Для каждого порта свои правила <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92014.html#5 Thu, 28 Jul 2011 07:36:54 GMT &gt; http_port 3128 <br>&gt; http_port 3130 transparent <br>&gt; auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/passwd <br>&gt; auth_param basic children 5 <br>&gt; auth_param basic credentialsttl 1 hours <br>&gt; acl LOCAL proxy_auth REQUIRED <br>&gt; Конфиг не полный но для наглядности вполне достаточно <br>&gt; IPFW Заворачивает одних на 3130 других 3128 <br><br> Ну и что мы поимеем, окошко с запросом имени и пароля, ну какой же тут прозрачный проксик, в принципе если есть домен, то можно использовать windows auth, но и в этом случае у браузера должен быть прописан проксик, установку параметров для этого можно прописывать в <br>логин скриптах...<br><br> https://www.opennet.ru/openforum/vsluhforumID1/92014.html#4 Thu, 28 Jul 2011 07:01:44 GMT http_port 3128<br>http_port 3130 transparent<br>auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/passwd<br>auth_param basic children 5<br>auth_param basic credentialsttl 1 hours<br>acl LOCAL proxy_auth REQUIRED<br><br><br>Конфиг не полный но для наглядности вполне достаточно<br><br>IPFW Заворачивает одних на 3130 других 3128 <br> https://www.opennet.ru/openforum/vsluhforumID1/92014.html#3 Thu, 28 Jul 2011 06:58:58 GMT &gt;[оверквотинг удален]<br>&gt; и прокси, т.к. если даже на первый запрос у него придёт <br>&gt; REDIRECT_TO_PROXY то браузер даст отлуп - т.к. с его точки зрения <br>&gt; какой-то левый прокси стоит между ним и интернетом и явно хочет <br>&gt; перехватывать информацию.<br>&gt; Т.е. это чисто ограничение по безопасности именно браузера.<br>&gt; PS да и вариант авторизации через cookie тоже не подойдёт... :( <br>&gt; PS2 как вариант можно редиректить на страницу авторизации, авторизаовать клиента, запоминать <br>&gt; его IP+MAC и после этого пускать в интернет. Периодически авторизация должна <br>&gt; протухать и требовать повторного ввода пароля. Но это ужасный костыль + <br>&gt; потребуется программинг.<br><br>Возможно ! <br>http_port 3128<br>http_port 3130 transparent<br>auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/passwd<br>auth_param basic children 5<br>auth_param basic credentialsttl 1 hours<br>acl LOCAL proxy_auth REQUIRED<br>Пример !!!<br> https://www.opennet.ru/openforum/vsluhforumID1/92014.html#2 Thu, 28 Jul 2011 06:24:30 GMT прозрачный прокси + авторизация невозможна.<br><br>И дело не во freebsd, дело в клиентском браузере и его логике работы с прокси.<br><br>Поясню: если у клиента в браузере не стоит крыжик использовать прокси сервер - то он в запросах не будет посылать данные об авторизации и прокси, т.к. если даже на первый запрос у него придёт REDIRECT_TO_PROXY то браузер даст отлуп - т.к. с его точки зрения какой-то левый прокси стоит между ним и интернетом и явно хочет перехватывать информацию.<br><br>Т.е. это чисто ограничение по безопасности именно браузера.<br><br>PS да и вариант авторизации через cookie тоже не подойдёт... :(<br>PS2 как вариант можно редиректить на страницу авторизации, авторизаовать клиента, запоминать его IP+MAC и после этого пускать в интернет. Периодически авторизация должна протухать и требовать повторного ввода пароля. Но это ужасный костыль + потребуется программинг.<br>