Статья squid+AD

[Alex Keda]

релиз произошёл сразу, по техническим причинам

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Pangolin]

Спасибо автору статьи, было очень интересно. Однако заинтересовал вопрос: каким образом при этой схеме можно организовать прозрачное проксирование (красивое слово )?
В данный момент лично у меня получается вот что:

Код: Выделить всё

# echo test_user inet_full | /usr/local/libexec/squid/wbinfo_group.pl
OK

test_user в группе inet_full

Код: Выделить всё

# cat /usr/local/etc/squid/squid.conf | grep http_port
http_port 3128 transparent

требование squid от 2.6 для организации прозрачного прокси удовлетворили

Код: Выделить всё

# ipfw -a list
00100  662 188781 divert 8668 ip from 192.168.0.0/24 to any out xmit em0
00200  716  86691 divert 8668 ip from any to 192.168.0.114 in recv em0
00300   62   2552 deny tcp from any to any dst-port 3128 via em0
00400   37   6669 fwd 192.168.0.118,3128 tcp from 192.168.0.0/24 to any dst-port 80 via em1
00500    0      0 deny ip from 192.168.0.0/24 to not 192.168.0.0/24 dst-port 80,21,443
00600 2066 375247 allow ip from any to any
65535    0      0 deny ip from any to any

фаером организовали НАТ зафорвардили внутренние запросы в сквид и зарезали возможность обращения к нету, для теста разрешили все пакеты во все стороны

Код: Выделить всё

# cat /var/log/squid/access.log
1195465143.164      2 192.168.0.245 TCP_DENIED/403 1363 GET http://www.lissyara.su/ - NONE/- text/html
1195465164.732      0 192.168.0.245 TCP_DENIED/403 1363 GET http://www.lissyara.su/ - NONE/- text/html

вот так вот... сквид после форварда уже не считает запрос легитимным
кто может подсказать как обойти эту спотыкалку?

[Alex Keda]

авторизация и прозрачность - несовместимы.
сколько раз это повторять?

[vyruz]

вопрос - как реализовать при авторазции через доменные группы разный набор acl на соответсвующие группы:
условно две группы
all - всюду
users - только куда можно

[Alex Keda]

вообще-то, в конфиге что в статье это реализовано

[vyruz]

простите, я тормоз сегодня...

[f0s]

Лис, а с антивирусной защитой как? ну удлаось еще покрутить icap? или что-то другое юзаешь?

[Alex Keda]

неа.
нах оно мне - у меня FreeBSD на десктопе

[f0s]

все юзеры на фрибсд? ужос

[Alex Keda]

нет конечно.
но я узерами уже и не занимаюсь

[f0s]

я вот подумал, если с icap-ом такой косяк (хотя конечно расписано все очень красиво), то может сделать так:

оставить свой сквид как есть (ну только отключив icap), в нем есть режик в кач-ве редиректора и аутентификация по ntlm) и поднять второй прокси, который будет смотреть в инет и уровнем доступа только localhost. в первом сквиде прописать что брать инфу с внешнего сквида, а на внешнем сквиде через редиректор прикрутить проверку на вирусы.. типа там какую-нить (их много). ы? или нет смысла, и чоень нагрзука возрастет, что все будет дико тормозить?

[gmn]

Можно. То же HAVP.
Только все зависит от количества запросов к прокси, количества пользователей ...

[f0s]

по поводу групп юзеров... хотел сделать такую штуку, группе spb из домена разрешить доступ в инет, а группе msk - запретить. Но получается так, что доходя до proxy_required, авторизовываются все из домена, а дальше - усе.. пускает всех. вот конфиг:

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 3
auth_param basic realm router.artpaint
auth_param basic credentialsttl 2 hour
auth_param basic casesensitive off
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

Код: Выделить всё

acl     all             src             0.0.0.0/0.0.0.0
acl     localhost       src             127.0.0.0/8
acl     our_network     src             192.168.10.0/24
acl     manager         proto           cache_object
acl     spb             external nt_group spb
acl     msk             external nt_group msk
acl     DomainUsers     proxy_auth      REQUIRED
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 22          # ssh
acl Safe_ports port 3389        # RDP
acl Safe_ports port 5190        # icq
acl Safe_ports port 24554       # fido

Код: Выделить всё

http_access     allow   manager         localhost
http_access     deny    manager
http_access     allow   DomainUsers
http_access     deny    !Safe_ports
http_access     deny    CONNECT !SSL_ports
http_access     deny    msk
http_access     allow   spb
http_access     deny                    all

[Pangolin]

А если допустим у вас в сети будет иметься внутренний веб сервер, который потребуется обновить или прикрутить новую фенечку, то каким образом можно будет заставить его авторизоваться на сквиде для закачки недостающих пакетов?

для этого у меня есть ipfw

[Pangolin]

для этого у меня есть ipfw

Я так понял на форуме вместо "Ответить" было нажато "Правка" ну да ничего так мой пост получился даже забавным

И все же я не до понял. "для этого у меня есть ipfw"... да мы имеем IPFW, однако если перед правилом:

Код: Выделить всё

allow ip from any to any via int_iface

которое как я (надеюсь правильно) понял пускает трафик на сквид, поставить правила типа:

Код: Выделить всё

allow ip from my_apache_and_mysql_server to any
allow ip from any to my_apache_and_mysql_server

(ну или чтото типа того) то инсайдер от которого мы захотим защитится при помощи такой чудной связки Ада со Сквидом получит маленькую дырку. Естественно вероятность ее обнаружения и успешного использования стремится к нулю, однако она есть, а более красивых методов неужели не существует? Я как то привык думать что демон может все

[f0s]

для этого у меня есть ipfw

Я так понял на форуме вместо "Ответить" было нажато "Правка" ну да ничего так мой пост получился даже забавным

есть такое )

И все же я не до понял. "для этого у меня есть ipfw"... да мы имеем IPFW, однако если перед правилом:

Код: Выделить всё

allow ip from any to any via int_iface

которое как я (надеюсь правильно) понял пускает трафик на сквид, поставить правила типа:

Код: Выделить всё

allow ip from my_apache_and_mysql_server to any
allow ip from any to my_apache_and_mysql_server

(ну или чтото типа того) то инсайдер от которого мы захотим защитится при помощи такой чудной связки Ада со Сквидом получит маленькую дырку. Естественно вероятность ее обнаружения и успешного использования стремится к нулю, однако она есть, а более красивых методов неужели не существует? Я как то привык думать что демон может все

нет. прокси непрозрачный, так как с авторизацией, а выпускаем так:

Код: Выделить всё

04800    2261     108528 allow ip from 192.168.10.100 to any in via nve0 setup
05300 1843630 1096754209 allow tcp from any to any established

[Pangolin]

У меня складывается ощущение что Вы не до поняли ситуацию.
Допустим мы будем иметь сеть в довольно агрессивной среде (упаси господь), в которой имеется свободная возможность подключения инсайдеров имеющих своей целью много ходить в интернет за наш счет

К примеру будем иметь такой конфиг IPFW который позволит ходить в инет только через сквид + свободный доступ по всем почтовым протоколам. Создадим минимально возможный конфиг:

Код: Выделить всё

100 allow ip from any to any via lo0

// пропустили весь внутренний трафик, оно же отдаст разрешение пользователям домена трафик по 80 и 21
200 allow ip from any to any via INT_IF

// дивертим всю возможную почту и запросы к внешним днс
300 divert natd ip from INT_NET to not INT_NET dst-port 22,25,53,110,143,587,995 out via INT_IF
400 divert natd ip from any 22,25,53,110,143,587,995 to me in via INT_IF

// пустили шлюз в мир
500 allow ip from EXT_IP to any out xmit INT_IF

600 deny ip from any to any

в этом случае правило

Код: Выделить всё

allow ip from APACHE_MYSQL_SERVER to any in via INT_IF setup 

Ничего не даст, потому что ни по 21 ни по 80 порту через сквид обновления мы стянуть не можем ибо не авторизованы, а через нат потомучто нет диверта.
Дивертить трафик по 80 и 21 только для этой машины правилом типа:

Код: Выделить всё

150 divert natd ip from APACHE_MYSQL_SERVER to not INT_NET dst-port 21,80 out via INT_IF

мы так же не можем ибо инсайдер сможет подобрать и использовать этот адрес для обхода сквида.
Мне просто интересно каким образом реально обойти такую ситуацию. Я пока смог придумать только вариант с внутренним cvsup сервером.

p.s.
Я понимаю, что ситуация очень нереальная и проще сказать «отъе... отстань в общем», но на мой взгляд довольно интересная пища для ума

[f0s]

У меня складывается ощущение что Вы не до поняли ситуацию.
Допустим мы будем иметь сеть в довольно агрессивной среде (упаси господь), в которой имеется свободная возможность подключения инсайдеров имеющих своей целью много ходить в интернет за наш счет

К примеру будем иметь такой конфиг IPFW который позволит ходить в инет только через сквид + свободный доступ по всем почтовым протоколам. Создадим минимально возможный конфиг:

Код: Выделить всё

100 allow ip from any to any via lo0

// пропустили весь внутренний трафик, оно же отдаст разрешение пользователям домена трафик по 80 и 21
200 allow ip from any to any via INT_IF

// дивертим всю возможную почту и запросы к внешним днс
300 divert natd ip from INT_NET to not INT_NET dst-port 22,25,53,110,143,587,995 out via INT_IF
400 divert natd ip from any 22,25,53,110,143,587,995 to me in via INT_IF

// пустили шлюз в мир
500 allow ip from EXT_IP to any out xmit INT_IF

600 deny ip from any to any

в этом случае правило

Код: Выделить всё

allow ip from APACHE_MYSQL_SERVER to any in via INT_IF setup 

Ничего не даст, потому что ни по 21 ни по 80 порту через сквид обновления мы стянуть не можем ибо не авторизованы, а через нат потомучто нет диверта.
Дивертить трафик по 80 и 21 только для этой машины правилом типа:

Код: Выделить всё

150 divert natd ip from APACHE_MYSQL_SERVER to not INT_NET dst-port 21,80 out via INT_IF

мы так же не можем ибо инсайдер сможет подобрать и использовать этот адрес для обхода сквида.
Мне просто интересно каким образом реально обойти такую ситуацию. Я пока смог придумать только вариант с внутренним cvsup сервером.

p.s.
Я понимаю, что ситуация очень нереальная и проще сказать «отъе... отстань в общем», но на мой взгляд довольно интересная пища для ума

а.. так у тебя диверт работает тока на определенные порты? а зачем?

[Pangolin]

Если дивертить все, то инсайдер не станет настраивать свою машину на использование прокси и будет пользоваться свободным доступом в интернет, получится ситуация, что мы ограничиваем честных пользователей давая свободный доступ противнику.

[f0s]

Если дивертить все, то инсайдер не станет настраивать свою машину на использование прокси и будет пользоваться свободным доступом в интернет, получится ситуация, что мы ограничиваем честных пользователей давая свободный доступ противнику.

почему свободным? у меня натится по всем портам, но инсайдер не может выйти через нат в инет. через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете

[Pangolin]

через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете

Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.

[f0s]

через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете

Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.

может тогда имеетм смысл дополнить с помощью uid root

[Pangolin]

через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете

Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.

может тогда имеетм смысл дополнить с помощью uid root

хм.. простите не понял что имеется ввиду

[f0s]

через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете

Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.

может тогда имеетм смысл дополнить с помощью uid root

хм.. простите не понял что имеется ввиду

ну что-то вроде

Код: Выделить всё

04800    2261     108528 allow ip from 192.168.10.100 to any in via nve0 setup uid root

только надо попроовать

[r0man_]

А каким образом можно настроить, что бы в access.log не логин писался,
а например емайл?
Просто сейчас используется basic авторизация не по логинам, а по майлу.