forum.opennet.ru

Составление сообщения

Исходное сообщение

"Война с прозрачным прокси"
Отправлено StSphinx, 20-Апр-06 17:10

>О великие гуру, будте нисходительны к простым изерам, помогите :)
>
>Есть Linux Debian 3.1 на машине с 2 сетевыми (одна в inet
>другая в local).
>Поднят Squid и настроены IPTABLES.
>Squid настроен в режиме прозрачного прокси, форватинг включен и т.д.(делал по статье
>на сайте)
>Также настроен стандартный метот футофикации пользователей, завекдены пользователи и добавлены правила.
>на клиетских машинах вбит GW и DNS роутера.
>
>Проблема такая
>При обрашении к прокси как обычно(в IE забиты настройки прокси) - все
>зашибись, спрашивается пароль и все дальше работает.
>Но, при обрашении без данных настроек, squid выкидывает "доступ запрешен" не спрашивая
>не имени пользователя ни пароль. При этом обрашение на WEB сайт
>внутри сети захожу а на все остальные "Доступ запрешен"
>Заметил особенность, если пишу acl acces all в squid пускает на сайты.
>понятно что дело в настройках авторизации но в каких не вьеду.
>Обьясните кто может.
>
>настройки Squid
> acl all src 0.0.0.0/0.0.0.0
>acl network src 192.168.0.1-192.168.0.254/24
>acl manager proto cache_object
>acl localhost src 127.0.0.1/255.255.255.255
>acl to_localhost dst 127.0.0.0/8
>acl SSL_ports port 443 563 # https, snews
>acl SSL_ports port 873 # rsync
>acl Safe_ports port 80 # http
>acl Safe_ports port 21 # ftp
>acl Safe_ports port 443 563 # https, snews
>acl Safe_ports port 70 # gopher
>acl Safe_ports port 210 # wais
>acl Safe_ports port 1025-65535 # unregistered ports
>acl Safe_ports port 280 # http-mgmt
>acl Safe_ports port 488 # gss-http
>acl Safe_ports port 591 # filemaker
>acl Safe_ports port 777 # multiling http
>acl Safe_ports port 631 # cups
>acl Safe_ports port 873 # rsync
>acl Safe_ports port 901 # SWAT
>acl purge method PURGE
>acl CONNECT method CONNECT
>acl Users_web proxy_auth imotkov eisaev dafanasiev vkunshin icq avasilev nanohin aorlov emishev
>dfedorov
>acl Admin_web proxy_auth roman
>acl icq_users proxy_auth icq
>acl icq_ports myport 443
>acl Bad_files url_regex -i .mp .avi .exe
>acl Bad_sites url_regex -i sex teen porno
>
>настройка IPTables
># Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
>
>*filter
>:FORWARD ACCEPT [0:0]
>:INPUT DROP [0:0]
>:OUTPUT ACCEPT [0:0]
># Accept traffic from internal interfaces
>-A INPUT ! -i eth1 -j ACCEPT
># Accept traffic with the ACK flag set
>-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
># Allow incoming data that is part of a connection we established
>
>-A INPUT -m state --state ESTABLISHED -j ACCEPT
># Allow data that is related to existing connections
>-A INPUT -m state --state RELATED -j ACCEPT
># Accept responses to DNS queries
>-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
>
># Accept responses to our pings
>-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
># Accept notifications of unreachable hosts
>-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
># Accept notifications to reduce sending speed
>-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
># Accept notifications of lost packets
>-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
># Accept notifications of protocol problems
>-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
>-A INPUT -p tcp -m tcp --dport 5190 -j ACCEPT
>COMMIT
># Completed on Wed Apr  5 16:35:14 2006
># Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
>
>*mangle
>:PREROUTING ACCEPT [0:0]
>:INPUT ACCEPT [0:0]
>:FORWARD ACCEPT [0:0]
>:OUTPUT ACCEPT [0:0]
>:POSTROUTING ACCEPT [0:0]
>COMMIT
># Completed on Wed Apr  5 16:35:14 2006
># Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
>
>*nat
>:OUTPUT ACCEPT [0:0]
>:PREROUTING ACCEPT [0:0]
>:POSTROUTING ACCEPT [0:0]
>-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
>
>COMMIT
># Completed on Wed Apr  5 16:35:14 2006

На гуру не тяну, но если я не ошибаюсь, прозрачный прокси и авторизация не совместимы в принципе. Были кажется какие-то патчи, но сторонних разработчиков.
То есть когда в настройках вы указываете параметры прокси все ок и вы проксируетесь так сказать осознанно, но если же настроек на клиенте нет и вы проксируетесь прозрачно, то упссс....

Исходное сообщение
"Война с прозрачным прокси" Отправлено StSphinx, 20-Апр-06 17:10
>О великие гуру, будте нисходительны к простым изерам, помогите :) > >Есть Linux Debian 3.1 на машине с 2 сетевыми (одна в inet >другая в local). >Поднят Squid и настроены IPTABLES. >Squid настроен в режиме прозрачного прокси, форватинг включен и т.д.(делал по статье >на сайте) >Также настроен стандартный метот футофикации пользователей, завекдены пользователи и добавлены правила. >на клиетских машинах вбит GW и DNS роутера. > >Проблема такая >При обрашении к прокси как обычно(в IE забиты настройки прокси) - все >зашибись, спрашивается пароль и все дальше работает. >Но, при обрашении без данных настроек, squid выкидывает "доступ запрешен" не спрашивая >не имени пользователя ни пароль. При этом обрашение на WEB сайт >внутри сети захожу а на все остальные "Доступ запрешен" >Заметил особенность, если пишу acl acces all в squid пускает на сайты. >понятно что дело в настройках авторизации но в каких не вьеду. >Обьясните кто может. > >настройки Squid > acl all src 0.0.0.0/0.0.0.0 >acl network src 192.168.0.1-192.168.0.254/24 >acl manager proto cache_object >acl localhost src 127.0.0.1/255.255.255.255 >acl to_localhost dst 127.0.0.0/8 >acl SSL_ports port 443 563 # https, snews >acl SSL_ports port 873 # rsync >acl Safe_ports port 80 # http >acl Safe_ports port 21 # ftp >acl Safe_ports port 443 563 # https, snews >acl Safe_ports port 70 # gopher >acl Safe_ports port 210 # wais >acl Safe_ports port 1025-65535 # unregistered ports >acl Safe_ports port 280 # http-mgmt >acl Safe_ports port 488 # gss-http >acl Safe_ports port 591 # filemaker >acl Safe_ports port 777 # multiling http >acl Safe_ports port 631 # cups >acl Safe_ports port 873 # rsync >acl Safe_ports port 901 # SWAT >acl purge method PURGE >acl CONNECT method CONNECT >acl Users_web proxy_auth imotkov eisaev dafanasiev vkunshin icq avasilev nanohin aorlov emishev >dfedorov >acl Admin_web proxy_auth roman >acl icq_users proxy_auth icq >acl icq_ports myport 443 >acl Bad_files url_regex -i .mp .avi .exe >acl Bad_sites url_regex -i sex teen porno > >настройка IPTables ># Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006 > >filter >:FORWARD ACCEPT [0:0] >:INPUT DROP [0:0] >:OUTPUT ACCEPT [0:0] ># Accept traffic from internal interfaces >-A INPUT ! -i eth1 -j ACCEPT ># Accept traffic with the ACK flag set >-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT ># Allow incoming data that is part of a connection we established > >-A INPUT -m state --state ESTABLISHED -j ACCEPT ># Allow data that is related to existing connections >-A INPUT -m state --state RELATED -j ACCEPT ># Accept responses to DNS queries >-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT > ># Accept responses to our pings >-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT ># Accept notifications of unreachable hosts >-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT ># Accept notifications to reduce sending speed >-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT ># Accept notifications of lost packets >-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT ># Accept notifications of protocol problems >-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT >-A INPUT -p tcp -m tcp --dport 5190 -j ACCEPT >COMMIT ># Completed on Wed Apr 5 16:35:14 2006 ># Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006 > >mangle >:PREROUTING ACCEPT [0:0] >:INPUT ACCEPT [0:0] >:FORWARD ACCEPT [0:0] >:OUTPUT ACCEPT [0:0] >:POSTROUTING ACCEPT [0:0] >COMMIT ># Completed on Wed Apr 5 16:35:14 2006 ># Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006 > >*nat >:OUTPUT ACCEPT [0:0] >:PREROUTING ACCEPT [0:0] >:POSTROUTING ACCEPT [0:0] >-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 > >COMMIT ># Completed on Wed Apr 5 16:35:14 2006 На гуру не тяну, но если я не ошибаюсь, прозрачный прокси и авторизация не совместимы в принципе. Были кажется какие-то патчи, но сторонних разработчиков. То есть когда в настройках вы указываете параметры прокси все ок и вы проксируетесь так сказать осознанно, но если же настроек на клиенте нет и вы проксируетесь прозрачно, то упссс....

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>О великие гуру, будте нисходительны к простым изерам, помогите :) 
>> 
>>Есть Linux Debian 3.1 на машине с 2 сетевыми (одна в inet 
>>другая в local).
>>Поднят Squid и настроены IPTABLES.
>>Squid настроен в режиме прозрачного прокси, форватинг включен и т.д.(делал по статье 
>>на сайте) 
>>Также настроен стандартный метот футофикации пользователей, завекдены пользователи и добавлены правила.
>>на клиетских машинах вбит GW и DNS роутера.
>> 
>>Проблема такая 
>>При обрашении к прокси как обычно(в IE забиты настройки прокси) - все 
>>зашибись, спрашивается пароль и все дальше работает.
>>Но, при обрашении без данных настроек, squid выкидывает "доступ запрешен" не спрашивая 
>>не имени пользователя ни пароль. При этом обрашение на WEB сайт 
>>внутри сети захожу а на все остальные "Доступ запрешен" 
>>Заметил особенность, если пишу acl acces all в squid пускает на сайты.
>>понятно что дело в настройках авторизации но в каких не вьеду.
>>Обьясните кто может.
>> 
>>настройки Squid 
>> acl all src 0.0.0.0/0.0.0.0 
>>acl network src 192.168.0.1-192.168.0.254/24 
>>acl manager proto cache_object 
>>acl localhost src 127.0.0.1/255.255.255.255 
>>acl to_localhost dst 127.0.0.0/8 
>>acl SSL_ports port 443 563 # https, snews 
>>acl SSL_ports port 873 # rsync 
>>acl Safe_ports port 80 # http 
>>acl Safe_ports port 21 # ftp 
>>acl Safe_ports port 443 563 # https, snews 
>>acl Safe_ports port 70 # gopher 
>>acl Safe_ports port 210 # wais 
>>acl Safe_ports port 1025-65535 # unregistered ports 
>>acl Safe_ports port 280 # http-mgmt 
>>acl Safe_ports port 488 # gss-http 
>>acl Safe_ports port 591 # filemaker 
>>acl Safe_ports port 777 # multiling http 
>>acl Safe_ports port 631 # cups 
>>acl Safe_ports port 873 # rsync 
>>acl Safe_ports port 901 # SWAT 
>>acl purge method PURGE 
>>acl CONNECT method CONNECT 
>>acl Users_web proxy_auth imotkov eisaev dafanasiev vkunshin icq avasilev nanohin aorlov emishev 
>>dfedorov 
>>acl Admin_web proxy_auth roman 
>>acl icq_users proxy_auth icq 
>>acl icq_ports myport 443 
>>acl Bad_files url_regex -i .mp .avi .exe 
>>acl Bad_sites url_regex -i sex teen porno 
>> 
>>настройка IPTables 
>># Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006 
>> 
>>*filter 
>>:FORWARD ACCEPT [0:0] 
>>:INPUT DROP [0:0] 
>>:OUTPUT ACCEPT [0:0] 
>># Accept traffic from internal interfaces 
>>-A INPUT ! -i eth1 -j ACCEPT 
>># Accept traffic with the ACK flag set 
>>-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT 
>># Allow incoming data that is part of a connection we established 
>> 
>>-A INPUT -m state --state ESTABLISHED -j ACCEPT 
>># Allow data that is related to existing connections 
>>-A INPUT -m state --state RELATED -j ACCEPT 
>># Accept responses to DNS queries 
>>-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT 
>> 
>># Accept responses to our pings 
>>-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT 
>># Accept notifications of unreachable hosts 
>>-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT 
>># Accept notifications to reduce sending speed 
>>-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT 
>># Accept notifications of lost packets 
>>-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT 
>># Accept notifications of protocol problems 
>>-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT 
>>-A INPUT -p tcp -m tcp --dport 5190 -j ACCEPT 
>>COMMIT 
>># Completed on Wed Apr  5 16:35:14 2006 
>># Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006 
>> 
>>*mangle 
>>:PREROUTING ACCEPT [0:0] 
>>:INPUT ACCEPT [0:0] 
>>:FORWARD ACCEPT [0:0] 
>>:OUTPUT ACCEPT [0:0] 
>>:POSTROUTING ACCEPT [0:0] 
>>COMMIT 
>># Completed on Wed Apr  5 16:35:14 2006 
>># Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006 
>> 
>>*nat 
>>:OUTPUT ACCEPT [0:0] 
>>:PREROUTING ACCEPT [0:0] 
>>:POSTROUTING ACCEPT [0:0] 
>>-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
>> 
>>COMMIT 
>># Completed on Wed Apr  5 16:35:14 2006

> На гуру не тяну, но если я не ошибаюсь, прозрачный прокси и 
> авторизация не совместимы в принципе. Были кажется какие-то патчи, но сторонних 
> разработчиков.
> То есть когда в настройках вы указываете параметры прокси все ок и 
> вы проксируетесь так сказать осознанно, но если же настроек на клиенте 
> нет и вы проксируетесь прозрачно, то упссс....

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру