SQUID и клиент банка ОТП

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

SQUID и клиент банка ОТП

Непрочитанное сообщение KaMa-CyTpA » 2009-08-03 21:39:58

У этого банка два сайта - http и https
Первый для оформления документов второй - для печати документов.
Правила SQUID: (только то что относится к ОТП банку)

Код: Выделить всё

acl BANK_COMP_OTP src 192.168.0.145
acl BANK_SITES_OTP dstdomain gov.ru isb.ru mail.ru otpbank.ru

http_access allow CONNECT SSL_ports
http_access allow BANK_COMP_OTP BANK_SITES_OTP
http_access allow BANK_COMP_OTP SSL_ports
http_access deny CONNECT !SSL_ports
http_access deny !SAFE_PORTS
http_access deny all
Также настройки SQUID общие:

Код: Выделить всё

dns_timeout 5 minutes
dns_defnames off
dns_nameservers 192.168.0.4
dns_testnames -D
positive_dns_ttl 6 hour
negative_dns_ttl 5 minute
diskd_program /usr/local/libexec/squid/diskd
hierarchy_stoplist cgi-bin ?

refresh_pattern ^ftp: 30 20% 180
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i \.gif$ 10080 90% 43200
refresh_pattern -i \.(zip|rar|arj|cab)$ 60 70% 240
refresh_pattern -i \.(jpg|jpeg|png|bmp)$ 10080 90% 43200
refresh_pattern -i \.swf$ 10080 90% 43200

cache_effective_user squid
cache_effective_group squid

cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF

maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB
memory_pools on

quick_abort_min 100 KB
quick_abort_max 1024 KB
quick_abort_pct 90
negative_ttl 1 minute

ipcache_size 1024
fqdncache_size 1024
cache_mem 300 MB
cache_swap_high 80
cache_swap_low 60
ipcache_high 90
ipcache_low 30

cache_dir ufs /cache/cache1 1024 128 256 

log_mime_hdrs on
log_ip_on_direct on
log_fqdn on
ftp_user billy_gates@microsoft.com
ftp_passive on
ftp_telnet_protocol off
ftp_sanitycheck on
buffered_logs on

strip_query_terms on
access_log /usr/local/squid/logs/access.log
pid_filename /usr/local/squid/logs/squid.pid
cache_store_log none

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic credentialsttl 5 hour
auth_param basic casesensitive off
external_acl_type nt_group ttl=120 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
Так вот когда последнее правило http_access deny all включено, в логах такая ашЫпка

Код: Выделить всё

1249301956.302      1 credit-otp.local.local TCP_DENIED/407 2909 GET http://sprint8.otpbank.ru/PROD/GENERATED/54/02.files/image005.png - NONE/- text/html [Accept: */*\r\nReferer: http://sprint8.otpbank.ru/PROD/generate.php?NHYHB8YC1HB7YD1N86H8CY84wpiN5EONB8YC1HB7ND1YC8NB7YC1HC2N7EtH88wpfPH7BHC3NC9HD3HBBHB8YAFHA6Y9FdN7EY8AjN82N89\r\nAccept-Language: ru\r\nUA-CPU: x86\r\nAccept-Encoding: gzip, deflate\r\nIf-Modified-Since: Wed, 15 Jul 2009 05:16:17 GMT; length=360\r\nUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; %d2%e5%f5%ed%ee%f6%e5%ed%f2%f0; %d2%e5%f5%ed%ee%f6%e5%ed%f2%f0)\r\nHost: sprint8.otpbank.ru\r\nProxy-Connection: Keep-Alive\r\nAuthorization: Basic dzUxMDFuNDE6aDAwNXMwOTM=\r\n] [HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/3.0.STABLE17\r\nMime-Version: 1.0\r\nDate: Mon, 03 Aug 2009 12:19:16 GMT\r\nContent-Type: text/html\r\nContent-Length: 2516\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED 0\r\nProxy-Authenticate: NTLM\r\nProxy-Authenticate: Basic realm="TC"\r\n\r]

1249301956.313    569 credit-otp.local.local TCP_MISS/200 108388 GET http://sprint8.otpbank.ru/PROD/generate.php? invest DIRECT/194.50.120.150 text/html [Accept: */*\r\nAccept-Language: ru\r\nUA-CPU: x86\r\nAccept-Encoding: gzip, deflate\r\nUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; %d2%e5%f5%ed%ee%f6%e5%ed%f2%f0; %d2%e5%f5%ed%ee%f6%e5%ed%f2%f0)\r\nProxy-Authorization: NTLM TlRMTVNTUAADAAAAGAAYAHIAAAAYABgAigAAAAoACgBIAAAADAAMAFIAAAAUABQAXgAAAAAAAACiAAAABYKIogUBKAoAAAAPTABPAEMAQQBMAGkAbgB2AGUAcwB0AEMAUgBFAEQASQBUAC0ATwBUAFAAJTHaI6yvbPUAAAAAAAAAAAAAAAAAAAAA/ljayjkynNLqRwtNnf09RQtFkKJXfamX\r\nProxy-Connection: Keep-Alive\r\nAuthorization: Basic dzUxMDFuNDE6aDAwNXMwOTM=\r\nHost: sprint8.otpbank.ru\r\n] [HTTP/1.1 200 OK\r\nDate: Mon, 03 Aug 2009 12:19:15 GMT\r\nServer: Apache\r\nPragma: public\r\nExpires: 0\r\nCache-Control: must-revalidate, post-check=0, pre-check=0\r\nContent-Description: File Transfer\r\nContent-Transfer-Encoding: quoted-printable;\r\nConnection: close\r\nContent-Type: text/html\r\nContent-Language: ru\r\n\r]
Как только выключаю правило http_access deny all логи вещают радость:

Код: Выделить всё

1249301975.991     37 credit-otp.local.local TCP_MISS/304 214 GET http://sprint8.otpbank.ru/PROD/GENERATED/56/01.files/image001.png invest DIRECT/194.50.120.150 - [Accept: */*\r\nAccept-Language: ru\r\nUA-CPU: x86\r\nAccept-Encoding: gzip, deflate\r\nIf-Modified-Since: Mon, 20 Apr 2009 10:10:18 GMT; length=4738\r\nUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; %d2%e5%f5%ed%ee%f6%e5%ed%f2%f0; %d2%e5%f5%ed%ee%f6%e5%ed%f2%f0)\r\nProxy-Connection: Keep-Alive\r\nHost: sprint8.otpbank.ru\r\nAuthorization: Basic dzUxMDFuNDE6aDAwNXMwOTM=\r\n] [HTTP/1.1 304 Not Modified\r\nDate: Mon, 03 Aug 2009 12:19:35 GMT\r\nServer: Apache\r\nConnection: Keep-Alive\r\nKeep-Alive: timeout=15, max=98\r\nETag: "e15-1282-b7fa6280"\r\n\r]

1249301984.131     38 credit-otp.local.local TCP_MISS/304 213 GET http://sprint8.otpbank.ru/PROD/GENERATED/51/01.files/image001.jpg invest DIRECT/194.50.120.150 - [Accept: */*\r\nAccept-Language: ru\r\nUA-CPU: x86\r\nAccept-Encoding: gzip, deflate\r\nIf-Modified-Since: Mon, 20 Apr 2009 13:25:29 GMT; length=3390\r\nUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; %d2%e5%f5%ed%ee%f6%e5%ed%f2%f0; %d2%e5%f5%ed%ee%f6%e5%ed%f2%f0)\r\nProxy-Connection: Keep-Alive\r\nHost: sprint8.otpbank.ru\r\nAuthorization: Basic dzUxMDFuNDE6aDAwNXMwOTM=\r\n] [HTTP/1.1 304 Not Modified\r\nDate: Mon, 03 Aug 2009 12:19:43 GMT\r\nServer: Apache\r\nConnection: Keep-Alive\r\nKeep-Alive: timeout=15, max=97\r\nETag: "e09-d3e-76006700"\r\n\r]
Что за ерунда то такая??????

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: SQUID и клиент банка ОТП

Непрочитанное сообщение skeletor » 2009-08-05 9:58:07

Дело в том, что параметр dstdomain, который вы указали не распространяется на поддомены (sprint8.otpbank.ru). Для каждого поддомена нужно отдельно прописывать разрешение. Если не хотите - тогда смотрите в сторону параметра url_regex.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: SQUID и клиент банка ОТП

Непрочитанное сообщение manefesto » 2009-08-05 10:03:53

о_О....мой банк
я такой яростный шо аж пиздеЦ
Изображение

KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

Re: SQUID и клиент банка ОТП

Непрочитанное сообщение KaMa-CyTpA » 2009-08-05 12:00:39

skeletor
Спасибо огромное!

manefesto
Превосходно работает все - только вот трудность с печатью была.
И еще вопрос - как можно проверить работоспособность, если нет решения банка?