The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Война с прозрачным прокси"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Война с прозрачным прокси"  
Сообщение от DrLivsi email(ok) on 20-Апр-06, 16:15 
О великие гуру, будте нисходительны к простым изерам, помогите :)

Есть Linux Debian 3.1 на машине с 2 сетевыми (одна в inet другая в local).
Поднят Squid и настроены IPTABLES.
Squid настроен в режиме прозрачного прокси, форватинг включен и т.д.(делал по статье на сайте)
Также настроен стандартный метот футофикации пользователей, завекдены пользователи и добавлены правила.
на клиетских машинах вбит GW и DNS роутера.

Проблема такая
При обрашении к прокси как обычно(в IE забиты настройки прокси) - все зашибись, спрашивается пароль и все дальше работает.
Но, при обрашении без данных настроек, squid выкидывает "доступ запрешен" не спрашивая не имени пользователя ни пароль. При этом обрашение на WEB сайт внутри сети захожу а на все остальные "Доступ запрешен"
Заметил особенность, если пишу acl acces all в squid пускает на сайты. понятно что дело в настройках авторизации но в каких не вьеду. Обьясните кто может.

настройки Squid
acl all src 0.0.0.0/0.0.0.0
acl network src 192.168.0.1-192.168.0.254/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl Users_web proxy_auth imotkov eisaev dafanasiev vkunshin icq avasilev nanohin aorlov emishev dfedorov
acl Admin_web proxy_auth roman
acl icq_users proxy_auth icq
acl icq_ports myport 443
acl Bad_files url_regex -i .mp .avi .exe
acl Bad_sites url_regex -i sex teen porno

настройка IPTables
# Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Accept traffic from internal interfaces
-A INPUT ! -i eth1 -j ACCEPT
# Accept traffic with the ACK flag set
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established
-A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections
-A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
# Accept notifications of unreachable hosts
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5190 -j ACCEPT
COMMIT
# Completed on Wed Apr  5 16:35:14 2006
# Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Apr  5 16:35:14 2006
# Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Apr  5 16:35:14 2006

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Война с прозрачным прокси"  
Сообщение от StSphinx (??) on 20-Апр-06, 17:10 
>О великие гуру, будте нисходительны к простым изерам, помогите :)
>
>Есть Linux Debian 3.1 на машине с 2 сетевыми (одна в inet
>другая в local).
>Поднят Squid и настроены IPTABLES.
>Squid настроен в режиме прозрачного прокси, форватинг включен и т.д.(делал по статье
>на сайте)
>Также настроен стандартный метот футофикации пользователей, завекдены пользователи и добавлены правила.
>на клиетских машинах вбит GW и DNS роутера.
>
>Проблема такая
>При обрашении к прокси как обычно(в IE забиты настройки прокси) - все
>зашибись, спрашивается пароль и все дальше работает.
>Но, при обрашении без данных настроек, squid выкидывает "доступ запрешен" не спрашивая
>не имени пользователя ни пароль. При этом обрашение на WEB сайт
>внутри сети захожу а на все остальные "Доступ запрешен"
>Заметил особенность, если пишу acl acces all в squid пускает на сайты.
>понятно что дело в настройках авторизации но в каких не вьеду.
>Обьясните кто может.
>
>настройки Squid
> acl all src 0.0.0.0/0.0.0.0
>acl network src 192.168.0.1-192.168.0.254/24
>acl manager proto cache_object
>acl localhost src 127.0.0.1/255.255.255.255
>acl to_localhost dst 127.0.0.0/8
>acl SSL_ports port 443 563 # https, snews
>acl SSL_ports port 873 # rsync
>acl Safe_ports port 80 # http
>acl Safe_ports port 21 # ftp
>acl Safe_ports port 443 563 # https, snews
>acl Safe_ports port 70 # gopher
>acl Safe_ports port 210 # wais
>acl Safe_ports port 1025-65535 # unregistered ports
>acl Safe_ports port 280 # http-mgmt
>acl Safe_ports port 488 # gss-http
>acl Safe_ports port 591 # filemaker
>acl Safe_ports port 777 # multiling http
>acl Safe_ports port 631 # cups
>acl Safe_ports port 873 # rsync
>acl Safe_ports port 901 # SWAT
>acl purge method PURGE
>acl CONNECT method CONNECT
>acl Users_web proxy_auth imotkov eisaev dafanasiev vkunshin icq avasilev nanohin aorlov emishev
>dfedorov
>acl Admin_web proxy_auth roman
>acl icq_users proxy_auth icq
>acl icq_ports myport 443
>acl Bad_files url_regex -i .mp .avi .exe
>acl Bad_sites url_regex -i sex teen porno
>
>настройка IPTables
># Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
>
>*filter
>:FORWARD ACCEPT [0:0]
>:INPUT DROP [0:0]
>:OUTPUT ACCEPT [0:0]
># Accept traffic from internal interfaces
>-A INPUT ! -i eth1 -j ACCEPT
># Accept traffic with the ACK flag set
>-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
># Allow incoming data that is part of a connection we established
>
>-A INPUT -m state --state ESTABLISHED -j ACCEPT
># Allow data that is related to existing connections
>-A INPUT -m state --state RELATED -j ACCEPT
># Accept responses to DNS queries
>-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
>
># Accept responses to our pings
>-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
># Accept notifications of unreachable hosts
>-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
># Accept notifications to reduce sending speed
>-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
># Accept notifications of lost packets
>-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
># Accept notifications of protocol problems
>-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
>-A INPUT -p tcp -m tcp --dport 5190 -j ACCEPT
>COMMIT
># Completed on Wed Apr  5 16:35:14 2006
># Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
>
>*mangle
>:PREROUTING ACCEPT [0:0]
>:INPUT ACCEPT [0:0]
>:FORWARD ACCEPT [0:0]
>:OUTPUT ACCEPT [0:0]
>:POSTROUTING ACCEPT [0:0]
>COMMIT
># Completed on Wed Apr  5 16:35:14 2006
># Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
>
>*nat
>:OUTPUT ACCEPT [0:0]
>:PREROUTING ACCEPT [0:0]
>:POSTROUTING ACCEPT [0:0]
>-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
>
>COMMIT
># Completed on Wed Apr  5 16:35:14 2006


На гуру не тяну, но если я не ошибаюсь, прозрачный прокси и авторизация не совместимы в принципе. Были кажется какие-то патчи, но сторонних разработчиков.
То есть когда в настройках вы указываете параметры прокси все ок и вы проксируетесь так сказать осознанно, но если же настроек на клиенте нет и вы проксируетесь прозрачно, то упссс....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Война с прозрачным прокси"  
Сообщение от Jan email(??) on 20-Апр-06, 20:59 
Там и в помине нет авторизации.

https://www.opennet.ru/base/net/win_squid.txt.html

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Война с прозрачным прокси"  
Сообщение от DrLivsi email(??) on 21-Апр-06, 13:57 
Ладно, допустим, но чем тогда прозрачный прокис отличеется от обычного, там ведь получается просто заворот на GW. Т.е машина с прокси сама к себе обращается. Почему же авторизация не срабатывеет.

И еше, если цуи интерфейс для авторизации в SQUID ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру