The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Авторизация по ARP + auth_proxy: как настроить?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Авторизация по ARP + auth_proxy: как настроить?"  
Сообщение от Сергей email(??) on 05-Апр-07, 13:59 
Доброго времени суток!

По ходу эксплуатации SQUID возникли несколько вопросов, експериментируя с которыми сам ответов найти не смог.

У меня есть внутренняя сеть которая ходит в мир через транспарентный SQUID следующим образом:

#SQUID.CONF
http_port 127.0.0.1:3128
...
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/passwd
...
acl students arp "/usr/local/etc/squid/acl/students.arp"
acl students_deny url_regex -i "/usr/local/etc/squid/acl/students.deny"
...
http_access allow students !students_deny
...
delay_pools 4
...
delay_class 3 1
...
delay_parameters 3 32768/32768
...
delay_access 3 allow students
delay_access 3 deny all

#PF.CONF
...
rdr on $int_if inet proto tcp from <proxy> to ! $int_net port www -> 127.0.0.1 port 3128
...

Вся эта конструкция успешно работает, авторизуется по ARP. Но... Мне так и не удалось заставить проводить авторизацию не только по ARP, но и по proxy_auth. Работает или первый вариант через transparent proxy, или второй вариант через обычный proxy. Где-то, вроде, читал, что одновременно (ARP+proxy_auth+transparent) нельзя, так-ли это?

И ещё. У меня появился один чел, который находится извне, надо его тоже запустить через SQUID, но на внешнем интерфейсе. Он должен авторизироваться по proxy_auth и конектиться на 3128 порт. Пока этот трюк также не удаётся — по ARP авторизация работает ТОЛЬКО на внутреннем интерфейсе для внутренней сети.

Какие будут мысли по этим вопросам? Где и как копать? Нужны идеи, господа!

С уважением,
Сергей

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Авторизация по ARP + auth_proxy: как настроить?"  
Сообщение от Sloboda (??) on 05-Апр-07, 15:24 
>вариант через обычный proxy. Где-то, вроде, читал, что одновременно (ARP+proxy_auth+transparent) нельзя,
>так-ли это?

Да, прозрачный заворот и тут же авторизацию для одного клиента сделать нельзя, потому что в прозрачном варианте (на то он и прозрачный) браузер не знает о существовании прокси и не авторизируется.

Но на одном прокси для _разных_ клиентов можно одновременно сделать разные схемы авторизации, единственно http_access в правильном порядке расставить.

>И ещё. У меня появился один чел, который находится извне, надо его
ncsa_auth, наверное, или может просто src.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Авторизация по ARP + auth_proxy: как настроить?"  
Сообщение от Сергей email(??) on 05-Апр-07, 17:00 
>Но на одном прокси для _разных_ клиентов можно одновременно сделать разные схемы
>авторизации, единственно http_access в правильном порядке расставить.

Спасибо, идею понял, копаю.

>>И ещё. У меня появился один чел, который находится извне, надо его
>ncsa_auth, наверное, или может просто src.

Чел уже проходит авторизацию успешно, правда после неё всё равно SQUID возвращает запрет на загрузку (не по авторизации). Где ещё можно посмотреть? А то чтобы запустить SQUID с отладкой, надо ждать когда все из института уйдут - он слишком много в лог пишет. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Авторизация по ARP + auth_proxy: как настроить?"  
Сообщение от Sloboda (??) on 05-Апр-07, 17:59 
>правда после неё всё равно SQUID возвращает запрет на загрузку (не по авторизации)
Эту фразу не понял.

>то чтобы запустить SQUID с отладкой, надо ждать когда все из
>института уйдут - он слишком много в лог пишет. :)

debug_options в /usr/share/doc/squid смотреть описание цифр.
squid -k reconfigure

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Авторизация по ARP + auth_proxy: как настроить?"  
Сообщение от Сергей email(??) on 05-Апр-07, 20:15 

>Эту фразу не понял.

Я имел ввиду, что окно на авторизацию у чела выскакивает и он её успешно проходит.
Т.е. второй раз авторизация броузером не запрашивается и окно с ошибкой авторизации не выводится. Вместо него выводится окно с ошибкой доступа. Скорее всего он не проходит через какой-то из ACL-ей. Почему, не знаю. Вроде всё правильно написал. Его аксесы в самый верх поставил... Будем бороться.

>debug_options в /usr/share/doc/squid смотреть описание цифр.
>squid -k reconfigure

я пишу так:
debug_options          ALL,1

или

debug_options          ALL,1 33,2 28,9   #очень детально

SQUID тогда рисует ОЧЕНЬ детальную информацию в логи. После праздников, видать придётся этим заняться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру