Статья squid+AD

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-11-16 18:35:13

релиз произошёл сразу, по техническим причинам :)
Убей их всех! Бог потом рассортирует...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Pangolin
рядовой
Сообщения: 26
Зарегистрирован: 2007-11-19 11:03:34
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Pangolin » 2007-11-19 14:50:59

Спасибо автору статьи, было очень интересно. Однако заинтересовал вопрос: каким образом при этой схеме можно организовать прозрачное проксирование (красивое слово :) )?
В данный момент лично у меня получается вот что:

Код: Выделить всё

# echo test_user inet_full | /usr/local/libexec/squid/wbinfo_group.pl
OK
test_user в группе inet_full

Код: Выделить всё

# cat /usr/local/etc/squid/squid.conf | grep http_port
http_port 3128 transparent
требование squid от 2.6 для организации прозрачного прокси удовлетворили

Код: Выделить всё

# ipfw -a list
00100  662 188781 divert 8668 ip from 192.168.0.0/24 to any out xmit em0
00200  716  86691 divert 8668 ip from any to 192.168.0.114 in recv em0
00300   62   2552 deny tcp from any to any dst-port 3128 via em0
00400   37   6669 fwd 192.168.0.118,3128 tcp from 192.168.0.0/24 to any dst-port 80 via em1
00500    0      0 deny ip from 192.168.0.0/24 to not 192.168.0.0/24 dst-port 80,21,443
00600 2066 375247 allow ip from any to any
65535    0      0 deny ip from any to any
фаером организовали НАТ зафорвардили внутренние запросы в сквид и зарезали возможность обращения к нету, для теста разрешили все пакеты во все стороны

Код: Выделить всё

# cat /var/log/squid/access.log
1195465143.164      2 192.168.0.245 TCP_DENIED/403 1363 GET http://www.lissyara.su/ - NONE/- text/html
1195465164.732      0 192.168.0.245 TCP_DENIED/403 1363 GET http://www.lissyara.su/ - NONE/- text/html
вот так вот... сквид после форварда уже не считает запрос легитимным :(
кто может подсказать как обойти эту спотыкалку?
Не все так плохо как Вы думаете... все значительно хуже!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-11-19 14:55:10

авторизация и прозрачность - несовместимы.
сколько раз это повторять?
Убей их всех! Бог потом рассортирует...

vyruz
проходил мимо
Сообщения: 6
Зарегистрирован: 2007-11-15 15:04:06

Re: Статья squid+AD

Непрочитанное сообщение vyruz » 2007-11-22 11:29:22

вопрос - как реализовать при авторазции через доменные группы разный набор acl на соответсвующие группы:
условно две группы
all - всюду
users - только куда можно

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-11-22 11:31:05

вообще-то, в конфиге что в статье это реализовано
Убей их всех! Бог потом рассортирует...

vyruz
проходил мимо
Сообщения: 6
Зарегистрирован: 2007-11-15 15:04:06

Re: Статья squid+AD

Непрочитанное сообщение vyruz » 2007-11-22 12:35:39

простите, я тормоз сегодня...

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-04 11:31:11

Лис, а с антивирусной защитой как? ну удлаось еще покрутить icap? или что-то другое юзаешь?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-12-04 11:43:30

неа.
нах оно мне - у меня FreeBSD на десктопе :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-04 12:35:17

все юзеры на фрибсд? ужос :)
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-12-04 13:00:03

нет конечно.
но я узерами уже и не занимаюсь :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-04 14:53:45

я вот подумал, если с icap-ом такой косяк (хотя конечно расписано все очень красиво), то может сделать так:

оставить свой сквид как есть (ну только отключив icap), в нем есть режик в кач-ве редиректора и аутентификация по ntlm) и поднять второй прокси, который будет смотреть в инет и уровнем доступа только localhost. в первом сквиде прописать что брать инфу с внешнего сквида, а на внешнем сквиде через редиректор прикрутить проверку на вирусы.. типа там какую-нить (их много). ы? или нет смысла, и чоень нагрзука возрастет, что все будет дико тормозить?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-12-04 16:23:01

Можно. То же HAVP.
Только все зависит от количества запросов к прокси, количества пользователей ...

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-07 17:20:51

по поводу групп юзеров... хотел сделать такую штуку, группе spb из домена разрешить доступ в инет, а группе msk - запретить. Но получается так, что доходя до proxy_required, авторизовываются все из домена, а дальше - усе.. пускает всех. вот конфиг:

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 3
auth_param basic realm router.artpaint
auth_param basic credentialsttl 2 hour
auth_param basic casesensitive off
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

Код: Выделить всё

acl     all             src             0.0.0.0/0.0.0.0
acl     localhost       src             127.0.0.0/8
acl     our_network     src             192.168.10.0/24
acl     manager         proto           cache_object
acl     spb             external nt_group spb
acl     msk             external nt_group msk
acl     DomainUsers     proxy_auth      REQUIRED
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 22          # ssh
acl Safe_ports port 3389        # RDP
acl Safe_ports port 5190        # icq
acl Safe_ports port 24554       # fido

Код: Выделить всё

http_access     allow   manager         localhost
http_access     deny    manager
http_access     allow   DomainUsers
http_access     deny    !Safe_ports
http_access     deny    CONNECT !SSL_ports
http_access     deny    msk
http_access     allow   spb
http_access     deny                    all
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Pangolin
рядовой
Сообщения: 26
Зарегистрирован: 2007-11-19 11:03:34
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Pangolin » 2007-12-19 10:45:34

А если допустим у вас в сети будет иметься внутренний веб сервер, который потребуется обновить или прикрутить новую фенечку, то каким образом можно будет заставить его авторизоваться на сквиде для закачки недостающих пакетов?

для этого у меня есть ipfw :)
Не все так плохо как Вы думаете... все значительно хуже!

Pangolin
рядовой
Сообщения: 26
Зарегистрирован: 2007-11-19 11:03:34
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Pangolin » 2007-12-20 8:56:22

Pangolin писал(а):для этого у меня есть ipfw :)
Я так понял на форуме вместо "Ответить" было нажато "Правка" ну да ничего так мой пост получился даже забавным :)

И все же я не до понял. "для этого у меня есть ipfw"... да мы имеем IPFW, однако если перед правилом:

Код: Выделить всё

allow ip from any to any via int_iface
которое как я (надеюсь правильно) понял пускает трафик на сквид, поставить правила типа:

Код: Выделить всё

allow ip from my_apache_and_mysql_server to any
allow ip from any to my_apache_and_mysql_server
(ну или чтото типа того) то инсайдер от которого мы захотим защитится при помощи такой чудной связки Ада со Сквидом получит маленькую дырку. Естественно вероятность ее обнаружения и успешного использования стремится к нулю, однако она есть, а более красивых методов неужели не существует? Я как то привык думать что демон может все :)
Не все так плохо как Вы думаете... все значительно хуже!

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-20 9:40:08

Pangolin писал(а):
Pangolin писал(а):для этого у меня есть ipfw :)
Я так понял на форуме вместо "Ответить" было нажато "Правка" ну да ничего так мой пост получился даже забавным :)
есть такое :))
И все же я не до понял. "для этого у меня есть ipfw"... да мы имеем IPFW, однако если перед правилом:

Код: Выделить всё

allow ip from any to any via int_iface
которое как я (надеюсь правильно) понял пускает трафик на сквид, поставить правила типа:

Код: Выделить всё

allow ip from my_apache_and_mysql_server to any
allow ip from any to my_apache_and_mysql_server
(ну или чтото типа того) то инсайдер от которого мы захотим защитится при помощи такой чудной связки Ада со Сквидом получит маленькую дырку. Естественно вероятность ее обнаружения и успешного использования стремится к нулю, однако она есть, а более красивых методов неужели не существует? Я как то привык думать что демон может все :)
нет. прокси непрозрачный, так как с авторизацией, а выпускаем так:

Код: Выделить всё

04800    2261     108528 allow ip from 192.168.10.100 to any in via nve0 setup
05300 1843630 1096754209 allow tcp from any to any established
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Pangolin
рядовой
Сообщения: 26
Зарегистрирован: 2007-11-19 11:03:34
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Pangolin » 2007-12-20 10:24:02

У меня складывается ощущение что Вы не до поняли ситуацию.
Допустим мы будем иметь сеть в довольно агрессивной среде (упаси господь), в которой имеется свободная возможность подключения инсайдеров имеющих своей целью много ходить в интернет за наш счет :)

К примеру будем иметь такой конфиг IPFW который позволит ходить в инет только через сквид + свободный доступ по всем почтовым протоколам. Создадим минимально возможный конфиг:

Код: Выделить всё

100 allow ip from any to any via lo0

// пропустили весь внутренний трафик, оно же отдаст разрешение пользователям домена трафик по 80 и 21
200 allow ip from any to any via INT_IF

// дивертим всю возможную почту и запросы к внешним днс
300 divert natd ip from INT_NET to not INT_NET dst-port 22,25,53,110,143,587,995 out via INT_IF
400 divert natd ip from any 22,25,53,110,143,587,995 to me in via INT_IF

// пустили шлюз в мир
500 allow ip from EXT_IP to any out xmit INT_IF

600 deny ip from any to any
в этом случае правило

Код: Выделить всё

allow ip from APACHE_MYSQL_SERVER to any in via INT_IF setup 
Ничего не даст, потому что ни по 21 ни по 80 порту через сквид обновления мы стянуть не можем ибо не авторизованы, а через нат потомучто нет диверта.
Дивертить трафик по 80 и 21 только для этой машины правилом типа:

Код: Выделить всё

150 divert natd ip from APACHE_MYSQL_SERVER to not INT_NET dst-port 21,80 out via INT_IF
мы так же не можем ибо инсайдер сможет подобрать и использовать этот адрес для обхода сквида.
Мне просто интересно каким образом реально обойти такую ситуацию. Я пока смог придумать только вариант с внутренним cvsup сервером.

p.s.
Я понимаю, что ситуация очень нереальная и проще сказать «отъе... отстань в общем», но на мой взгляд довольно интересная пища для ума :)
Не все так плохо как Вы думаете... все значительно хуже!

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-20 11:00:47

Pangolin писал(а):У меня складывается ощущение что Вы не до поняли ситуацию.
Допустим мы будем иметь сеть в довольно агрессивной среде (упаси господь), в которой имеется свободная возможность подключения инсайдеров имеющих своей целью много ходить в интернет за наш счет :)

К примеру будем иметь такой конфиг IPFW который позволит ходить в инет только через сквид + свободный доступ по всем почтовым протоколам. Создадим минимально возможный конфиг:

Код: Выделить всё

100 allow ip from any to any via lo0

// пропустили весь внутренний трафик, оно же отдаст разрешение пользователям домена трафик по 80 и 21
200 allow ip from any to any via INT_IF

// дивертим всю возможную почту и запросы к внешним днс
300 divert natd ip from INT_NET to not INT_NET dst-port 22,25,53,110,143,587,995 out via INT_IF
400 divert natd ip from any 22,25,53,110,143,587,995 to me in via INT_IF

// пустили шлюз в мир
500 allow ip from EXT_IP to any out xmit INT_IF

600 deny ip from any to any
в этом случае правило

Код: Выделить всё

allow ip from APACHE_MYSQL_SERVER to any in via INT_IF setup 
Ничего не даст, потому что ни по 21 ни по 80 порту через сквид обновления мы стянуть не можем ибо не авторизованы, а через нат потомучто нет диверта.
Дивертить трафик по 80 и 21 только для этой машины правилом типа:

Код: Выделить всё

150 divert natd ip from APACHE_MYSQL_SERVER to not INT_NET dst-port 21,80 out via INT_IF
мы так же не можем ибо инсайдер сможет подобрать и использовать этот адрес для обхода сквида.
Мне просто интересно каким образом реально обойти такую ситуацию. Я пока смог придумать только вариант с внутренним cvsup сервером.

p.s.
Я понимаю, что ситуация очень нереальная и проще сказать «отъе... отстань в общем», но на мой взгляд довольно интересная пища для ума :)

а.. так у тебя диверт работает тока на определенные порты? а зачем?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Pangolin
рядовой
Сообщения: 26
Зарегистрирован: 2007-11-19 11:03:34
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Pangolin » 2007-12-20 11:14:44

Если дивертить все, то инсайдер не станет настраивать свою машину на использование прокси и будет пользоваться свободным доступом в интернет, получится ситуация, что мы ограничиваем честных пользователей давая свободный доступ противнику.
Не все так плохо как Вы думаете... все значительно хуже!

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-20 11:28:20

Pangolin писал(а):Если дивертить все, то инсайдер не станет настраивать свою машину на использование прокси и будет пользоваться свободным доступом в интернет, получится ситуация, что мы ограничиваем честных пользователей давая свободный доступ противнику.
почему свободным? у меня натится по всем портам, но инсайдер не может выйти через нат в инет. через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете :)
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Pangolin
рядовой
Сообщения: 26
Зарегистрирован: 2007-11-19 11:03:34
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Pangolin » 2007-12-20 11:55:02

f0s писал(а):через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете :)
Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере :)
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.
Не все так плохо как Вы думаете... все значительно хуже!

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-20 12:20:32

Pangolin писал(а):
f0s писал(а):через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете :)
Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере :)
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.
может тогда имеетм смысл дополнить с помощью uid root
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Pangolin
рядовой
Сообщения: 26
Зарегистрирован: 2007-11-19 11:03:34
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Pangolin » 2007-12-20 13:55:24

f0s писал(а):
Pangolin писал(а):
f0s писал(а):через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете :)
Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере :)
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.
может тогда имеетм смысл дополнить с помощью uid root
хм.. простите не понял что имеется ввиду :?
Не все так плохо как Вы думаете... все значительно хуже!

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-20 16:11:18

Pangolin писал(а):
f0s писал(а):
Pangolin писал(а):
f0s писал(а):через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете :)
Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере :)
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.
может тогда имеетм смысл дополнить с помощью uid root
хм.. простите не понял что имеется ввиду :?

ну что-то вроде

Код: Выделить всё

04800    2261     108528 allow ip from 192.168.10.100 to any in via nve0 setup uid root
только надо попроовать
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

r0man_
ефрейтор
Сообщения: 50
Зарегистрирован: 2007-08-22 9:17:52

Re: Статья squid+AD

Непрочитанное сообщение r0man_ » 2007-12-21 9:30:17

А каким образом можно настроить, что бы в access.log не логин писался,
а например емайл?
Просто сейчас используется basic авторизация не по логинам, а по майлу.