squid+клиентбанк

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Archi
рядовой
Сообщения: 24
Зарегистрирован: 2009-04-15 14:31:59

squid+клиентбанк

Непрочитанное сообщение Archi » 2009-04-21 10:10:59

Добрый день, вот такая проблема есть НЕпрозрачный прокси с ntlm аутентификацией, выход в инет только через него, и есть клиент банк https://ibank.isb.ru/iBank2/ который работает на яве, так вот проблема в том что на прозрачном прокси и просто без него он работает, а с непрозрачным прокси не хочет... Тех поддержка клиент банка ничего внятного не сказала кроме как сменить ntlm на basic(lol). Ниже приведу конфиги и логи.

Сообщения в логах прокси

Код: Выделить всё

1239082900.662      0 10.20.0.41 TCP_DENIED/407 1628 CONNECT ibank.isb.ru:443 - NONE/- text/html
1239082900.664      0 10.20.0.41 TCP_DENIED/407 1758 CONNECT ibank.isb.ru:443 - NONE/- text/html
лог java при попытке подключения через прокси.

Код: Выделить всё

================================
==       BIFIT FIRMWARE       ==
================================
 ERROR

java.io.IOException: Authentication failure

 at sun.net.www.protocol.http.HttpURLConnection.doTunneling(Unknown Source)

 at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.setProxiedClient(Unknown Source)

 at sun.net.www.protocol.https.PluginDelegateHttpsURLConnection.superConnect(Unknown Source)

 at sun.net.www.protocol.https.PluginDelegateHttpsURLConnection.connect(Unknown Source)

 at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(Unknown Source)

 at com.bifit.harver.ClientApplet.a(Unknown Source)

 at com.bifit.harver.ClientApplet.a(Unknown Source)

 at com.bifit.harver.ClientApplet.a(Unknown Source)

 at com.bifit.harver.ClientApplet.init(Unknown Source)

 at sun.applet.AppletPanel.run(Unknown Source)

 at java.lang.Thread.run(Unknown Source)

java.lang.NullPointerException

 at com.bifit.harver.ClientApplet.a(Unknown Source)

 at com.bifit.harver.ClientApplet.a(Unknown Source)

 at com.bifit.harver.ClientApplet.init(Unknown Source)

 at sun.applet.AppletPanel.run(Unknown Source)

 at java.lang.Thread.run(Unknown Source)
Конфиг сквида

Код: Выделить всё

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 100 MB
cache_dir ufs /usr/local/squid/cache 100 64 64
access_log /usr/local/squid/logs/access.log squid
cache_store_log none
hosts_file /etc/hosts
append_domain .domain.ru
error_directory /usr/local/etc/squid/errors/Russian-1251

logfile_rotate 1

auth_param ntlm program /usr/local/bin/ntlm_auth        --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param basic program /usr/local/bin/ntlm_auth       --helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

external_acl_type nt_group %LOGIN       /usr/local/libexec/squid/wbinfo_group.pl

acl     inet      external   nt_group inet
acl     finet     external   nt_group finet
acl     DOMAIN  proxy_auth REQUIRED

acl     safe_ports              port    80      # http
acl     safe_ports              port    21      # ftp
acl     safe_ports              port    443     # ssl
acl     safe_ports              port    5190    # ICQ
acl     safe_ports              port    8080 8000 88
acl     ssl_ports               port    443 563 # ssl
acl     all                     src     0.0.0.0/0.0.0.0
acl     localhost               src     127.0.0.1/255.255.255.255

acl     bad_url               url_regex       "/usr/local/etc/squid/db/deny_url.txt"
acl     deny_domains          dstdomain       "/usr/local/etc/squid/db/deny_domains.txt"
acl     without_havp          dstdomain       "/usr/local/etc/squid/db/without_havp.txt"
acl     banks                 dst             "/usr/local/etc/squid/db/banks.txt"

deny_info       ERR_BAD_URL             bad_url
deny_info       ERR_BAD_NETWORKS        bad_networks
deny_info       ERR_DENY_DOMAINS        deny_domains
deny_info       ERR_SAFE_PORTS          safe_ports
deny_info       ERR_SSL_PORTS           SSL_ports

cache_peer 127.0.0.1            parent    3127  0     default no-query
http_access     allow   inet            all
always_direct   allow   ssl_ports
always_direct   allow   without_havp
http_access     allow   banks
http_access     deny    bad_url
http_access     deny    deny_domains
http_access     deny    !safe_ports
http_access     allow   finet
acl FTP proto FTP
always_direct allow FTP
http_access     deny                    all

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

_Andy
проходил мимо

Re: squid+клиентбанк

Непрочитанное сообщение _Andy » 2009-04-21 10:26:06

Если сквид на 3 версию поменять?
p.S: А у тебя выписки по счетам из iBank'а, нормально распечатываются?

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: squid+клиентбанк

Непрочитанное сообщение hizel » 2009-04-21 10:28:41

Код: Выделить всё

acl SSL_ports port 443
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
что-то в этом плане, разрешить CONNECT для SSL
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Archi
рядовой
Сообщения: 24
Зарегистрирован: 2009-04-15 14:31:59

Re: squid+клиентбанк

Непрочитанное сообщение Archi » 2009-04-21 10:30:38

А переход с 2.7 сквид на 3.0 через portupgrade безболезненный будет? там синтаксис не поменялся? Да и хз поможет ли это вообще
А насчет распечаток хз, бухгалтера вроже не жаловались.

_andy
проходил мимо

Re: squid+клиентбанк

Непрочитанное сообщение _andy » 2009-04-21 10:32:51

Archi писал(а):А переход с 2.7 сквид на 3.0 через portupgrade безболезненный будет? там синтаксис не поменялся? Да и хз поможет ли это вообще
А насчет распечаток хз, бухгалтера вроже не жаловались.
Ты конфиг-то в сторонку скопируй, и обновись, ежели что - откатишься. Хотя проблем быть не должно.
p.S: Значит наш герр Бифитер меня наебывает. Версию б-гомерзкого iBank'а можно, и быдложабы заодно :)

Archi
рядовой
Сообщения: 24
Зарегистрирован: 2009-04-15 14:31:59

Re: squid+клиентбанк

Непрочитанное сообщение Archi » 2009-04-21 10:39:49

hizel писал(а):

Код: Выделить всё

acl SSL_ports port 443
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
что-то в этом плане, разрешить CONNECT для SSL
Не помогло

Код: Выделить всё

acl     ssl_ports               port    443 563 # ssl
acl     CONNECT method CONNECT
http_access     deny    CONNECT !ssl_ports
все тоже самое...

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: squid+клиентбанк

Непрочитанное сообщение hizel » 2009-04-21 10:50:51

ну не факт что это верный алгоритм acl, я то squid не пользую и не люблю, но

Код: Выделить всё

1239082900.662      0 10.20.0.41 TCP_DENIED/407 1628 CONNECT ibank.isb.ru:443 - NONE/- text/html
какбэ намекает что вам нужно разрешить метод CONNECT для 443 порта как минимум :pardon:
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Archi
рядовой
Сообщения: 24
Зарегистрирован: 2009-04-15 14:31:59

Re: squid+клиентбанк

Непрочитанное сообщение Archi » 2009-04-21 10:58:02

Да в том то и дело что алогритм то правильный...
После его ввода стали иногда проскакивать новые мессаги

Код: Выделить всё

1240300617.889  62040 10.20.0.15 TCP_MISS/200 5610 CONNECT ibank.isb.ru:443 archi DIRECT/194.50.120.10 -
т.е. по крайней мере уже логин видеть стала...

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: squid+клиентбанк

Непрочитанное сообщение skeletor » 2009-04-21 11:13:26

А если пустить его мимо прокси? Написать правила для тех, кто работает с ним и пустить мимо сквида.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Archi
рядовой
Сообщения: 24
Зарегистрирован: 2009-04-15 14:31:59

Re: squid+клиентбанк

Непрочитанное сообщение Archi » 2009-04-21 11:16:31

Так у меня по дефолту в конфиге стояло

Код: Выделить всё

always_direct   allow   ssl_ports
Да и на всякий случай я прописал

Код: Выделить всё

acl     banks                 dst             "/usr/local/etc/squid/db/banks.txt"
http_access     allow   banks
где

Код: Выделить всё

squid# cat /usr/local/etc/squid/db/banks.txt
194.50.120.0/24
90.156.128.0/24 

Archi
рядовой
Сообщения: 24
Зарегистрирован: 2009-04-15 14:31:59

Re: squid+клиентбанк

Непрочитанное сообщение Archi » 2009-04-21 11:50:31

фишка в том что если загрузить клиент банк без прокси и он выдаст welcome window то там можно будет указать логин и пароль для прокси, если их указываешь то клиент-банк нормально работает через прокси...проблема в том что с ntlm аутентификацией у меня не появляется это welcome window где можно ввести ключ пароль и прокси...

Аватара пользователя
serge
майор
Сообщения: 2132
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: squid+клиентбанк

Непрочитанное сообщение serge » 2009-04-21 13:22:28

Имхо, лучше без авторизации пускать его.
===
Или как вариант после ntlm авторизации поставить basic. Возможно, если не прокатит ntlm, то запросит basic.

Archi
рядовой
Сообщения: 24
Зарегистрирован: 2009-04-15 14:31:59

Re: squid+клиентбанк

Непрочитанное сообщение Archi » 2009-04-21 13:32:09

Подскажи плиз как реализовать вариант, чтобы на этот сайт юзеры выходили без авторизации в прокси?

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: squid+клиентбанк

Непрочитанное сообщение snorlov » 2009-04-21 13:57:08

Archi писал(а):Подскажи плиз как реализовать вариант, чтобы на этот сайт юзеры выходили без авторизации в прокси?
У меня squid 2.7 примерно так
squid.conf

Код: Выделить всё

acl bank dstdom_regex -i  "/.../freedomain"
htpp_access allow bank
правила где необходима аутенфикация 
freedomain

Код: Выделить всё

.cbr.ru
.vtb24.ru
.icbank.ru
.vtb.ru
После чего захожу на страничку банка и смотрю, если там еще какие-нибудь ссылки на другие ресурсы интернета, если они есть, выползает окно аутенфикации, и тупо их добавляю в freedomain, в настройках броузера стоит использовать прокси...

Archi
рядовой
Сообщения: 24
Зарегистрирован: 2009-04-15 14:31:59

Re: squid+клиентбанк

Непрочитанное сообщение Archi » 2009-04-21 14:05:59

Так если даже ставишь эти правила до строчки

Код: Выделить всё

acl     DOMAIN  proxy_auth REQUIRED
то все равно юзер пытается аутентифицироватся, у меня тоже 2.7 щас попробывал сделал

Код: Выделить всё

acl bank dstdom_regex -i  "/usr/local/etc/squid/db/banks.txt"
http_access allow bank
до этой строчки и добавил домен клиень-банка в banks.txt но все равно пытается судя по логам аутентифицироватся.

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: squid+клиентбанк

Непрочитанное сообщение snorlov » 2009-04-21 16:43:22

Во-первых строка

Код: Выделить всё

http_access allow bank
одной из самой верхней из http_access, squid ведь как делает берет самое первое(верхнее) [http_access [allow/deny] правило ] и его проверяет, если оно не подходит, то идет проверка следующего за ним, если правило срабатывает, то дальнейшей проверки не делает, а смотрит уже на деление канала( delay pool),
Но поскольку на странице банка у тебя могут быть баннеры или еще что-то не с этого сайта, то закачка их вызывает проверку с другими правилами, отсюда и растут ноги про аутенфикацию... К примеру, кажется для ВТБ24 сайт делала другая организация "студия Артемьева" кажется , в результате на странице банка стоит ссылка на их сайт, тупо посмотреть и добавить их в список доступа, а можно просто сделать в браузере отмену аутенфикации, ну не закачается картинка(ссылка) с этого сайта ну и плевать.. все равно все будет OK.