squid и ewclid

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
AnteC
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-13 13:02:24

squid и ewclid

Непрочитанное сообщение AnteC » 2009-05-12 10:51:43

Здравствуйте.
Ситуация:
На стороне клиента имеем выход в интернет через прокси squid установленный на FreeBSD.
На прокси открыты порты 80, 443, 2305, etc, инет "работает", программы типа Клиент Банка тоже...
Появилась необходимость подключаться к серверу Ewclid (система видеонаблюдения). К сожелению при попытке законектится через IE 8.0 получаю:
У вас отсутствуют разрешения на просмотр этой страницы
Указанные вами учетные сведения не позволяют просматривать данный каталог или страницу.
Но если открыть 80 порт на FreeBSD (настроен ipfw) коннект к серверу проходит на "ура".
Естественно очень очень очень хочется подключаться через прокси.

ЗЫ разработчики говорят что для доступа к серверу необходимо только открытый 80й порт.

Код: Выделить всё

http_port 192.168.100.216:3128
cache_mem  25 MB

cache_dir ufs  /usr/squid/  3072 16 256
cache_access_log  /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
error_directory /usr/local/etc/squid/errors/Russian-koi8-r

acl nobanners src all
acl banners url_regex "/usr/local/etc/squid/db/banners.acl"
http_access deny nobanners banners
acl bad_url url_regex "/usr/local/etc/squid/db/deny_url.txt"

acl Inet_macs arp "/usr/local/etc/squid/inet_macs"

acl ICQ_USERS_ONLY arp *****************************************
acl ICQ_DOMAIN dstdomain icq.com aol.com
acl ICQ_PORT port 5190 443
acl ICQ_PROTO proto HTTPS
acl ICQ_ADDR dst 64.12.0.0/16 205.188.0.0/16

acl SSL_ports port 443 563 5190 9091
acl Safe_ports port 21 80 443 563 5190 9091 2305
acl CONNECT method CONNECT

http_access allow ICQ_USERS_ONLY ICQ_PORT CONNECT
always_direct allow ICQ_DOMAIN ICQ_PORT CONNECT
always_direct allow ICQ_ADDR ICQ_PORT CONNECT
http_access deny bad_url
http_access allow Inet_macs
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
ЗЫЫ пробовал комментировать

Код: Выделить всё

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
всеравно не работает

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: squid и ewclid

Непрочитанное сообщение skeletor » 2009-05-12 11:47:24

У вас squid не прозрачный! Поэтому, либо пропишите настройки прокси в этой проге, либо пускайте мимо прокси.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

AnteC
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-13 13:02:24

Re: squid и ewclid

Непрочитанное сообщение AnteC » 2009-05-12 11:53:38

skeletor писал(а):У вас squid не прозрачный! Поэтому, либо пропишите настройки прокси в этой проге, либо пускайте мимо прокси.
Ну да прокси не прозрачный. На стороне клиента нет никакой проги, подключение происходит через веб браузер.

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: squid и ewclid

Непрочитанное сообщение skeletor » 2009-05-12 12:55:31

Значит в настройках броузера пропишите параметры прокси.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

AnteC
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-13 13:02:24

Re: squid и ewclid

Непрочитанное сообщение AnteC » 2009-05-12 13:15:02

:cz2:
Ну конечно в IE все прописано.
инет "работает", программы типа Клиент Банка тоже
тут имеется в виду что инет работает через прокси на ПК с которого пытаюсь подключится.

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: squid и ewclid

Непрочитанное сообщение InventoR » 2009-05-12 13:42:58

Стандартный вопрос:
1. Кто за Вас будет смотреть в логи доступа на прокси сервере?
2. Кто за Вас будет работать с tcpdump -i eth1 host blabla
ну вот и сказочке конец, кто слушал, тот молодец.

AnteC
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-13 13:02:24

Re: squid и ewclid

Непрочитанное сообщение AnteC » 2009-05-12 14:02:54

InventoR писал(а):Стандартный вопрос:
1. Кто за Вас будет смотреть в логи доступа на прокси сервере?
Логи смотрел там вот что:

Код: Выделить всё

1242114395.622   4112 192.168.100.22 TCP_MISS/401 4804 GET http://213.142.20*.**/ewclid - DIRECT/213.142.20*.** text/html
1242114403.971   2773 192.168.100.22 TCP_MISS/401 4804 GET http://213.142.20*.**/ewclid - DIRECT/213.142.20*.** text/html
1242114415.761   2314 192.168.100.22 TCP_MISS/401 4804 GET http://213.142.20*.**/ewclid - DIRECT/213.142.20*.** text/html
1242125403.749    291 192.168.100.22 TCP_MISS/401 4804 GET http://213.142.20*.**/ewclid - DIRECT/213.142.20*.** text/html
1242125404.028    253 192.168.100.22 TCP_MISS/404 4263 GET http://213.142.20*.**/favicon.ico - DIRECT/213.142.20*.** text/html
2. Кто за Вас будет работать с tcpdump -i eth1 host blabla

Код: Выделить всё

tcpdump -i tun0 host 213.142.20*.**
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
14:59:48.210824 IP 77-245-19*-***.polarnet.ru.62513 > 201-024.polarnet.ru.http: S 1141315173:1141315173(0) win 65535 <mss 1452,nop,wscale 1,nop,nop,timestamp 1030564034 0,sackOK,eol>
14:59:48.249333 IP 201-024.polarnet.ru.http > 77-245-19*-***.polarnet.ru.62513: S 4058248351:4058248351(0) ack 1141315174 win 64512 <mss 1360,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
14:59:48.249454 IP 77-245-19*-***.polarnet.ru.62513 > 201-024.polarnet.ru.http: . ack 1 win 33026 <nop,nop,timestamp 1030564073 0>
14:59:48.249819 IP 77-245-19*-***.polarnet.ru.62513 > 201-024.polarnet.ru.http: P 1:551(550) ack 1 win 33026 <nop,nop,timestamp 1030564073 0>
14:59:48.309930 IP 201-024.polarnet.ru.http > 77-245-19*-***.polarnet.ru.62513: P 1:195(194) ack 551 win 64730 <nop,nop,timestamp 7055809 1030564034>
14:59:48.358949 IP 201-024.polarnet.ru.http > 77-245-19*-***.polarnet.ru.62513: . 195:1543(1348) ack 551 win 64730 <nop,nop,timestamp 7055809 1030564034>
14:59:48.359030 IP 77-245-19*-***.polarnet.ru.62513 > 201-024.polarnet.ru.http: . ack 1543 win 32352 <nop,nop,timestamp 1030564182 7055809>
14:59:48.373166 IP 201-024.polarnet.ru.http > 77-245-19*-***.polarnet.ru.62513: P 1543:2242(699) ack 551 win 64730 <nop,nop,timestamp 7055809 1030564034>
14:59:48.441085 IP 201-024.polarnet.ru.http > 77-245-19*-***.polarnet.ru.62513: . 2242:3590(1348) ack 551 win 64730 <nop,nop,timestamp 7055810 1030564182>
14:59:48.441138 IP 77-245-19*-***.polarnet.ru.62513 > 201-024.polarnet.ru.http: . ack 3590 win 32352 <nop,nop,timestamp 1030564264 7055809>
14:59:48.463086 IP 201-024.polarnet.ru.http > 77-245-19*-***.polarnet.ru.62513: P 3590:4747(1157) ack 551 win 64730 <nop,nop,timestamp 7055810 1030564182>
14:59:48.463294 IP 77-245-19*-***.polarnet.ru.62513 > 201-024.polarnet.ru.http: F 551:551(0) ack 4747 win 33026 <nop,nop,timestamp 1030564286 7055810>
14:59:48.504385 IP 201-024.polarnet.ru.http > 77-245-19*-***.polarnet.ru.62513: . ack 552 win 64730 <nop,nop,timestamp 7055811 1030564286>
14:59:48.506252 IP 201-024.polarnet.ru.http > 77-245-19*-***.polarnet.ru.62513: F 4747:4747(0) ack 552 win 64730 <nop,nop,timestamp 7055811 1030564286>
14:59:48.506306 IP 77-245-19*-***.polarnet.ru.62513 > 201-024.polarnet.ru.http: . ack 4748 win 33025 <nop,nop,timestamp 1030564329 7055811>
ЗЫ я нехочу, чтобы за меня кто-то что-то делал. Просто подскажите в чем может быть причина и куда копать.
Последний раз редактировалось AnteC 2009-05-12 16:07:36, всего редактировалось 2 раза.

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: squid и ewclid

Непрочитанное сообщение InventoR » 2009-05-12 14:36:50

что-то я не пойму, у вас исходит два раза подрят запрос, пробовали делать это при сбросе правил ipfw на стандартные, то есть когда все открыто полностью.
с той стороны apach обслуживает?
ну вот и сказочке конец, кто слушал, тот молодец.

AnteC
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-13 13:02:24

Re: squid и ewclid

Непрочитанное сообщение AnteC » 2009-05-12 14:41:05

что-то я не пойму, у вас исходит два раза подрят запрос
я всего-лишь запустил tcpdump -i tun0 host 213.142.20*.** на фре и попытался открыть 213.142.20*.** через прокси.
пробовали делать это при сбросе правил ipfw на стандартные, то есть когда все открыто полностью
При открытом 80м порту на ipfw все работает, коннект идет и камера видна.
с той стороны apach обслуживает?
нет виндовый IIS, но я к нему не имею доступа.

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: squid и ewclid

Непрочитанное сообщение skeletor » 2009-05-12 15:12:36

AnteC писал(а)::cz2:
Ну конечно в IE все прописано.
инет "работает", программы типа Клиент Банка тоже
тут имеется в виду что инет работает через прокси на ПК с которого пытаюсь подключится.
Значит пускать мимо прокси такие проги.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

AnteC
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-13 13:02:24

Re: squid и ewclid

Непрочитанное сообщение AnteC » 2009-05-12 15:35:26

skeletor писал(а):Значит пускать мимо прокси такие проги.
Ну пока так и сделано - в ipfw:

Код: Выделить всё

00122 allow ip from 192.168.100.22 to 213.142.20*.** dst-port 80
00127 allow ip from 213.142.20*.** 80 to 192.168.100.22 established
Но вопрос то не в этом, а в том почему не работает через squid, да и приходится людям 2 браузера использовать -
1й с proxy, а 2й напрямую - что не очень удобно.

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: squid и ewclid

Непрочитанное сообщение skeletor » 2009-05-12 17:07:30

AnteC писал(а): Но вопрос то не в этом, а в том почему не работает через squid
Задайте этот вопрос авторам программы :) почему они не предусмотрели работу программы через прокси?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

AnteC
рядовой
Сообщения: 21
Зарегистрирован: 2008-03-13 13:02:24

Re: squid и ewclid

Непрочитанное сообщение AnteC » 2009-05-12 21:01:22

skeletor писал(а):
AnteC писал(а): Но вопрос то не в этом, а в том почему не работает через squid
Задайте этот вопрос авторам программы :) почему они не предусмотрели работу программы через прокси?
Это первое что я сделал... ответ тут

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: squid и ewclid

Непрочитанное сообщение skeletor » 2009-05-13 10:42:48

Какой в пень IIS? У тебя прокси явно блочит неавторизированных клиентов, ибо непрозрачный. Вообщем техподдержка у того продукта ... (это я писал про тех крендлей, который тебе прогу продали)

А тебе советую всё-таки пустить её мимо прокси, ибо иначе - врядли.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

suspender
сержант
Сообщения: 160
Зарегистрирован: 2007-11-19 10:47:09

Re: squid и ewclid

Непрочитанное сообщение suspender » 2009-05-13 13:25:32

AnteC писал(а): да и приходится людям 2 браузера использовать -
1й с proxy, а 2й напрямую - что не очень удобно.
Вроде как в ie и ff можно поставить галочку "Не использовать прокси для ...".
По крайней мере 2 браузера не надо ...