Добро времени суток!
На работе имеется прокси сервер usergate, не отличающийся стабильностью, поэтому для теста поставили squid по статье "SQUID+SAMS Rejik3 c авторизацией по NTLM".
В целом работа системы SQUID+SAMS Rejik3 c авторизацией по NTLM понравилась, особенно стабильность. Но есть ряд причин которые хотелось бы уточнить, а именно:
Возможно ли сделать squid прозрачным для этой схемы? Видел в инете статьи по настройке прозрачного прокси squid, но будет ли работать нормально прозрачный прокси с самсом и режиком, да ещё и при авторизации NTML?
Что делать если доменов два и нужно использовать их оба для авторизации?
Прозрачный SQUID +SAMS Rejik3 c авторизацией по NTLM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
Ameron
- проходил мимо
Re: Прозрачный SQUID +SAMS Rejik3 c авторизацией по NTLM
При прозрачном проксировании никакой авторизации ты не сможешь сделать.
Что мешает в политики установить адрес прокси, если обходить по компам и устанавливать ручками влом ?
Если тебя смущает, что при удалении прокси из настроек все равно ходят пользователи в нет - тогда запрещай им НАТ
Что мешает в политики установить адрес прокси, если обходить по компам и устанавливать ручками влом ?
Если тебя смущает, что при удалении прокси из настроек все равно ходят пользователи в нет - тогда запрещай им НАТ
-
Rubicon22
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2009-11-30 5:49:42
Re: Прозрачный SQUID +SAMS Rejik3 c авторизацией по NTLM
Возникли ещё вопросы касающихся данной темы:
Можно ли при такой конфигурации прокси задать nat, чтобы например доступ к фтп серверам у пользователей нормальный был? КЕсли да, то каким образом, через что и какими командами, если можно привидите пример.
И второй вопрос, если у меня в сети два домена, то как заставить работать данную связку на два домена?
Можно ли при такой конфигурации прокси задать nat, чтобы например доступ к фтп серверам у пользователей нормальный был? КЕсли да, то каким образом, через что и какими командами, если можно привидите пример.
И второй вопрос, если у меня в сети два домена, то как заставить работать данную связку на два домена?
-
---nebo---
- старшина
- Сообщения: 424
- Зарегистрирован: 2008-11-01 21:06:23
- Откуда: Киев
- Контактная информация:
Re: Прозрачный SQUID +SAMS Rejik3 c авторизацией по NTLM
Конечно можно. Например для PF:Можно ли при такой конфигурации прокси задать nat, чтобы например доступ к фтп серверам у пользователей нормальный был? Если да, то каким образом, через что и какими командами, если можно привидите пример.
Код: Выделить всё
nat on $ext_if from $int_if:network to any port 21 -> $ext_if
nat on $ext_if from $int_if:network to any port 21 -> $ext_ifКод: Выделить всё
gateway_enable="YES"Код: Выделить всё
#sysctl -w net.inet.ip.forwarding=1
), или просто используйте ipnat.в настройках KERBEROS указывайте два контроллера домена, на форуме уже существовали темы о двух КДИ второй вопрос, если у меня в сети два домена, то как заставить работать данную связку на два домена?
...участки под застройку в живописном месте Интернет
-
reLax
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: Прозрачный SQUID +SAMS Rejik3 c авторизацией по NTLM
2 ---nebo--- насчет FTP
21 - это только контрольный порт passive ftp.
Минимум:
И + Как минимум правила (даже OpenBSD советует использовать ftp-proxy)
rc.conf
А для разрешения FTP-трафика с самого сервера приходится вставлять только такой костыль (другого варианта нету)
В корне неверно, ваще херня какая-то написанаКод: Выделить всё
nat on $ext_if from $int_if:network to any port 21 -> $ext_if
21 - это только контрольный порт passive ftp.Минимум:
Код: Выделить всё
nat on $ExtIf from any to any -> $ExtIfКод: Выделить всё
...
rdr on $IntIf inet proto tcp from $IntIf:network to !(self) port 21 -> lo0 port 8021
...
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
...
pass in log on $IntIf inet proto tcp from $IntIf:network to lo0 port 8021
...
pass out log on $ExtIf inet proto tcp from ($ExtIf) to anyКод: Выделить всё
ftpproxy_enable="YES"
ftpproxy_flags="-v -D 7 -b 127.0.0.1"Код: Выделить всё
[10:46 root@darkstar /home/alex]# sockstat -4 | grep ftp-proxy
proxy ftp-proxy 21755 3 tcp4 127.0.0.1:8021 *:*Код: Выделить всё
[10:47 root@darkstar /home/alex]# ifconfig lo0
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
Код: Выделить всё
pass in log on $ExtIf inet proto tcp from any to ($ExtIf) port 49152:65535-
Rubicon22
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2009-11-30 5:49:42
Re: Прозрачный SQUID +SAMS Rejik3 c авторизацией по NTLM
Спасибо за разъяснения и примеры.
Возник ещё ряд вопросов.
Прочитал следующее: http://forum.nag.ru/forum/index.php?showtopic=53273, и пошли разочарования, выходит squid считает траффик не точно?
Дело в том, что в нашей организации стоит usergate, подвисающий каждый час - дело совсем не гуд. На squid всё понравилось, отличная решение, но как выясняется считающие траффик пользователям совсем не точно
Слышал что есть возможность считать через ipfw + nat(поправьте если ошибаюсь), а если попробовать сделать так скажем чтоб ipfw + nat делал контрольный подсчет траффика? Понимаю что конечно не лучшее решение нагружать лишний раз систему, но если squid не произведет подсчет например 1 гб трафа, будут серьезные проблемы у меня
И ещё, при сочетании авторизации по NTLM и ip, так вот при авторизации по ip убираю пароли пользователей (объяснять зачем нужен пароль при входе в интеренет - дело гиблое, чего только стоит бухгалтерам это объяснить ), возможно ли через фаерволл на freebsd сделать связку чтоб на прокси squid производил авторизацию только по ip, а фаервол проверяд ip + mac?
Возник ещё ряд вопросов.
Прочитал следующее: http://forum.nag.ru/forum/index.php?showtopic=53273, и пошли разочарования, выходит squid считает траффик не точно?
Дело в том, что в нашей организации стоит usergate, подвисающий каждый час - дело совсем не гуд. На squid всё понравилось, отличная решение, но как выясняется считающие траффик пользователям совсем не точно
Слышал что есть возможность считать через ipfw + nat(поправьте если ошибаюсь), а если попробовать сделать так скажем чтоб ipfw + nat делал контрольный подсчет траффика? Понимаю что конечно не лучшее решение нагружать лишний раз систему, но если squid не произведет подсчет например 1 гб трафа, будут серьезные проблемы у меня
И ещё, при сочетании авторизации по NTLM и ip, так вот при авторизации по ip убираю пароли пользователей (объяснять зачем нужен пароль при входе в интеренет - дело гиблое, чего только стоит бухгалтерам это объяснить
), возможно ли через фаерволл на freebsd сделать связку чтоб на прокси squid производил авторизацию только по ip, а фаервол проверяд ip + mac?