squid+клиентбанк

[Archi]

Добрый день, вот такая проблема есть НЕпрозрачный прокси с ntlm аутентификацией, выход в инет только через него, и есть клиент банк https://ibank.isb.ru/iBank2/ который работает на яве, так вот проблема в том что на прозрачном прокси и просто без него он работает, а с непрозрачным прокси не хочет... Тех поддержка клиент банка ничего внятного не сказала кроме как сменить ntlm на basic(lol). Ниже приведу конфиги и логи.

Сообщения в логах прокси

Код: Выделить всё

1239082900.662      0 10.20.0.41 TCP_DENIED/407 1628 CONNECT ibank.isb.ru:443 - NONE/- text/html
1239082900.664      0 10.20.0.41 TCP_DENIED/407 1758 CONNECT ibank.isb.ru:443 - NONE/- text/html

лог java при попытке подключения через прокси.

Код: Выделить всё

================================
==       BIFIT FIRMWARE       ==
================================
 ERROR

java.io.IOException: Authentication failure

 at sun.net.www.protocol.http.HttpURLConnection.doTunneling(Unknown Source)

 at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.setProxiedClient(Unknown Source)

 at sun.net.www.protocol.https.PluginDelegateHttpsURLConnection.superConnect(Unknown Source)

 at sun.net.www.protocol.https.PluginDelegateHttpsURLConnection.connect(Unknown Source)

 at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(Unknown Source)

 at com.bifit.harver.ClientApplet.a(Unknown Source)

 at com.bifit.harver.ClientApplet.a(Unknown Source)

 at com.bifit.harver.ClientApplet.a(Unknown Source)

 at com.bifit.harver.ClientApplet.init(Unknown Source)

 at sun.applet.AppletPanel.run(Unknown Source)

 at java.lang.Thread.run(Unknown Source)

java.lang.NullPointerException

 at com.bifit.harver.ClientApplet.a(Unknown Source)

 at com.bifit.harver.ClientApplet.a(Unknown Source)

 at com.bifit.harver.ClientApplet.init(Unknown Source)

 at sun.applet.AppletPanel.run(Unknown Source)

 at java.lang.Thread.run(Unknown Source)

Конфиг сквида

Код: Выделить всё

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 100 MB
cache_dir ufs /usr/local/squid/cache 100 64 64
access_log /usr/local/squid/logs/access.log squid
cache_store_log none
hosts_file /etc/hosts
append_domain .domain.ru
error_directory /usr/local/etc/squid/errors/Russian-1251

logfile_rotate 1

auth_param ntlm program /usr/local/bin/ntlm_auth        --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param basic program /usr/local/bin/ntlm_auth       --helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

external_acl_type nt_group %LOGIN       /usr/local/libexec/squid/wbinfo_group.pl

acl     inet      external   nt_group inet
acl     finet     external   nt_group finet
acl     DOMAIN  proxy_auth REQUIRED

acl     safe_ports              port    80      # http
acl     safe_ports              port    21      # ftp
acl     safe_ports              port    443     # ssl
acl     safe_ports              port    5190    # ICQ
acl     safe_ports              port    8080 8000 88
acl     ssl_ports               port    443 563 # ssl
acl     all                     src     0.0.0.0/0.0.0.0
acl     localhost               src     127.0.0.1/255.255.255.255

acl     bad_url               url_regex       "/usr/local/etc/squid/db/deny_url.txt"
acl     deny_domains          dstdomain       "/usr/local/etc/squid/db/deny_domains.txt"
acl     without_havp          dstdomain       "/usr/local/etc/squid/db/without_havp.txt"
acl     banks                 dst             "/usr/local/etc/squid/db/banks.txt"

deny_info       ERR_BAD_URL             bad_url
deny_info       ERR_BAD_NETWORKS        bad_networks
deny_info       ERR_DENY_DOMAINS        deny_domains
deny_info       ERR_SAFE_PORTS          safe_ports
deny_info       ERR_SSL_PORTS           SSL_ports

cache_peer 127.0.0.1            parent    3127  0     default no-query
http_access     allow   inet            all
always_direct   allow   ssl_ports
always_direct   allow   without_havp
http_access     allow   banks
http_access     deny    bad_url
http_access     deny    deny_domains
http_access     deny    !safe_ports
http_access     allow   finet
acl FTP proto FTP
always_direct allow FTP
http_access     deny                    all

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[_Andy]

Если сквид на 3 версию поменять?
p.S: А у тебя выписки по счетам из iBank'а, нормально распечатываются?

[hizel]

Код: Выделить всё

acl SSL_ports port 443
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports

что-то в этом плане, разрешить CONNECT для SSL

[Archi]

А переход с 2.7 сквид на 3.0 через portupgrade безболезненный будет? там синтаксис не поменялся? Да и хз поможет ли это вообще
А насчет распечаток хз, бухгалтера вроже не жаловались.

[_andy]

А переход с 2.7 сквид на 3.0 через portupgrade безболезненный будет? там синтаксис не поменялся? Да и хз поможет ли это вообще
А насчет распечаток хз, бухгалтера вроже не жаловались.

Ты конфиг-то в сторонку скопируй, и обновись, ежели что - откатишься. Хотя проблем быть не должно.
p.S: Значит наш герр Бифитер меня наебывает. Версию б-гомерзкого iBank'а можно, и быдложабы заодно

[Archi]

Код: Выделить всё

acl SSL_ports port 443
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports

что-то в этом плане, разрешить CONNECT для SSL

Не помогло

Код: Выделить всё

acl     ssl_ports               port    443 563 # ssl
acl     CONNECT method CONNECT
http_access     deny    CONNECT !ssl_ports

все тоже самое...

[hizel]

ну не факт что это верный алгоритм acl, я то squid не пользую и не люблю, но

Код: Выделить всё

1239082900.662      0 10.20.0.41 TCP_DENIED/407 1628 CONNECT ibank.isb.ru:443 - NONE/- text/html

какбэ намекает что вам нужно разрешить метод CONNECT для 443 порта как минимум

[Archi]

Да в том то и дело что алогритм то правильный...
После его ввода стали иногда проскакивать новые мессаги

Код: Выделить всё

1240300617.889  62040 10.20.0.15 TCP_MISS/200 5610 CONNECT ibank.isb.ru:443 archi DIRECT/194.50.120.10 -

т.е. по крайней мере уже логин видеть стала...

[skeletor]

А если пустить его мимо прокси? Написать правила для тех, кто работает с ним и пустить мимо сквида.

[Archi]

Так у меня по дефолту в конфиге стояло

Код: Выделить всё

always_direct   allow   ssl_ports

Да и на всякий случай я прописал

Код: Выделить всё

acl     banks                 dst             "/usr/local/etc/squid/db/banks.txt"
http_access     allow   banks

где

Код: Выделить всё

squid# cat /usr/local/etc/squid/db/banks.txt
194.50.120.0/24
90.156.128.0/24 

[Archi]

фишка в том что если загрузить клиент банк без прокси и он выдаст welcome window то там можно будет указать логин и пароль для прокси, если их указываешь то клиент-банк нормально работает через прокси...проблема в том что с ntlm аутентификацией у меня не появляется это welcome window где можно ввести ключ пароль и прокси...

[serge]

Имхо, лучше без авторизации пускать его.
===
Или как вариант после ntlm авторизации поставить basic. Возможно, если не прокатит ntlm, то запросит basic.

[Archi]

Подскажи плиз как реализовать вариант, чтобы на этот сайт юзеры выходили без авторизации в прокси?

[snorlov]

Подскажи плиз как реализовать вариант, чтобы на этот сайт юзеры выходили без авторизации в прокси?

У меня squid 2.7 примерно так
squid.conf

Код: Выделить всё

acl bank dstdom_regex -i  "/.../freedomain"
htpp_access allow bank
правила где необходима аутенфикация 

freedomain

Код: Выделить всё

.cbr.ru
.vtb24.ru
.icbank.ru
.vtb.ru

После чего захожу на страничку банка и смотрю, если там еще какие-нибудь ссылки на другие ресурсы интернета, если они есть, выползает окно аутенфикации, и тупо их добавляю в freedomain, в настройках броузера стоит использовать прокси...

[Archi]

Так если даже ставишь эти правила до строчки

Код: Выделить всё

acl     DOMAIN  proxy_auth REQUIRED

то все равно юзер пытается аутентифицироватся, у меня тоже 2.7 щас попробывал сделал

Код: Выделить всё

acl bank dstdom_regex -i  "/usr/local/etc/squid/db/banks.txt"
http_access allow bank

до этой строчки и добавил домен клиень-банка в banks.txt но все равно пытается судя по логам аутентифицироватся.

[snorlov]

Во-первых строка

Код: Выделить всё

http_access allow bank

одной из самой верхней из http_access, squid ведь как делает берет самое первое(верхнее) [http_access [allow/deny] правило ] и его проверяет, если оно не подходит, то идет проверка следующего за ним, если правило срабатывает, то дальнейшей проверки не делает, а смотрит уже на деление канала( delay pool),
Но поскольку на странице банка у тебя могут быть баннеры или еще что-то не с этого сайта, то закачка их вызывает проверку с другими правилами, отсюда и растут ноги про аутенфикацию... К примеру, кажется для ВТБ24 сайт делала другая организация "студия Артемьева" кажется , в результате на странице банка стоит ссылка на их сайт, тупо посмотреть и добавить их в список доступа, а можно просто сделать в браузере отмену аутенфикации, ну не закачается картинка(ссылка) с этого сайта ну и плевать.. все равно все будет OK.