Страница 1 из 1
ipfw squid 2 setevie
Добавлено: 2008-12-24 17:01:29
dimidrol80
итак входные данные
имеется шлюз на фре 6.3 i386 ядро собрано с подержкой ipfw nat
на шлюзе установлен squid apach sams mysql dhcp named
squid не прозрачный авторизация в ad в настройках груповых политик установлен прокси все работает
в сервер была добавлена еще одна сетефуха для развертывания WiFi
под нее и прикручен Ddns+dhcp для раздавания ip пользователям +Proxy Avto Konfigure
но на беду или счастье
не все пользуются продуктом микрософта
нужно правилами фаервола завернуть трафик с подсети на squid (авторизация нужна в любом случае) нат не нужен (пользователям надо тока лазить по сайтам и ничего больше)
правило фаервола не срабатывает
Код: Выделить всё
${FwCMD} add fwd 127.0.0.1,80 tcp from 10.0.3.0/24 to any 80,443,5190 out via ${LanOut}
как мне завернуть трафик с подсети на squid?
Re: ipfw squid 2 setevie
Добавлено: 2008-12-24 17:05:02
paradox
должно все срабатывать
смотри фаервол по правилам выше
ну и в ядре убедись что форвард скомпилен
Re: ipfw squid 2 setevie
Добавлено: 2008-12-25 10:25:13
dimidrol80
да действительно моя ошыбка
правило работает
тепер другая проблема
если в настройках squid.conf ставлю что сквид транспарент то юзера в которых статически настроены браузеры получают запрос авторизации
а юзеры в которые идут по правилу фаервола получают ACCESS DENIED
убираю из squid.conf транспарент получаю
Код: Выделить всё
While trying to process the request:
GET / HTTP/1.1
Accept: */*
Referer: http://mail.ru/
Accept-Language: ru
UA-CPU: x86
Accept-Encoding: gzip, deflate
If-Modified-Since: Wed, 24 Dec 2008 19:22:05 GMT; length=74309
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Embedded Web Browser from: http://bsalsa.com/; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: mail.ru
Connection: Keep-Alive
Cookie: mrcu=E89749525F017EB3A6B77978C152; p=tH1XADzuSQAA; VID=0VUMiB0GcB0b
The following error was encountered:
Invalid Request
Some aspect of the HTTP Request is invalid. Possible problems:
Missing or unknown request method
Missing URL
Missing HTTP Identifier (HTTP/1.0)
Request is too large
Content-Length missing for POST or PUT requests
Illegal character in hostname; underscores are not allowed
помогите извратится чтоб и в том и в етом случае выдавало запрос авторизации
Код: Выделить всё
9:21 /home/#squid -v
Squid Cache: Version 2.7.STABLE5
9:23 /home/#uname -v
FreeBSD 6.3-RELEASE-p6 #2: Wed Dec 24 13:57:23 EET 2008 root@ns.dyvosvit.kiev.ua:/usr/obj/usr/src/sys/ProxyWiFi
Re: ipfw squid 2 setevie
Добавлено: 2008-12-25 10:30:58
paradox
если я правильно понял
то авторизацию через транспарент сделать нельзя
Re: ipfw squid 2 setevie
Добавлено: 2008-12-25 10:48:15
dimidrol80
в том то и все дело, надо чтоб юзеры которые проходят по правилу фаервола получали запрос на авторизацию
Re: ipfw squid 2 setevie
Добавлено: 2008-12-25 10:57:25
paradox
авторизацию через транспарент сделать нельзя
это в документации на сквид написано
Re: ipfw squid 2 setevie
Добавлено: 2008-12-25 11:45:59
dimidrol80
значит у меня какойто глючный сквит так как при установке транспарент
у тех пользователей у которых настройки статически прописаны получают запрос авторизации, что мне и нужно.
Но проблема не в етом, мне нужно чтоб всем пользователям выдавало запрос авторизации
а пользователям которые проходят по правилу фаервола выдает
Код: Выделить всё
The following error was encountered:
Invalid Request
Some aspect of the HTTP Request is invalid. Possible problems:
Missing or unknown request method
Missing URL
Missing HTTP Identifier (HTTP/1.0)
Request is too large
Content-Length missing for POST or PUT requests
Illegal character in hostname; underscores are not allowed
Re: ipfw squid 2 setevie
Добавлено: 2008-12-25 11:48:25
paradox
у тех пользователей у которых настройки статически прописаны получают запрос авторизации
авторизацию через транспарент сделать нельзя
или я чего то непонимаю
Re: ipfw squid 2 setevie
Добавлено: 2008-12-25 12:26:12
dimidrol80
если в настройках squid.conf ставлю что сквид транспарент то юзера в которых статически настроены браузеры получают запрос авторизации
а юзеры в которые идут по правилу фаервола получают ACCESS DENIED
что в принцепе и правильно так как при транспарент нет авторизации про что я знаю
но мне и не нужно транспарент
Сама суть не в том а в том что при опции в squid.conf "http_port 3128" , без всяких транспарент и т.д
авторизация у пользователей у которых статически настроен браузер проходит как положено (тоисть я в браузере прописую что прокси такой то и порт такой то) тепер после того как в браузере снимаю все галочки и конект к проксе проходит за правилом фаервола
Код: Выделить всё
${FwCMD} add fwd 127.0.0.1,80 tcp from 10.0.3.0/24 to any 80,443,5190 out via ${LanOut}
я получаю
Код: Выделить всё
While trying to process the request:
GET / HTTP/1.1
Accept: */*
Accept-Language: ru
UA-CPU: x86
Accept-Encoding: gzip, deflate
If-Modified-Since: Thu, 25 Dec 2008 12:00:54 GMT; length=81338
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Embedded Web Browser from: http://bsalsa.com/; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host: mail.ru
Connection: Keep-Alive
Cookie: Mpopl=1140477102; mrcu=E89749525F017EB3A6B77978C152; p=tH1XADzuSQAA; VID=0VUMiB0GcB0b; c8=hvRTSQAAAAIB5AIAAAAAAmAiAQAAAAACH9wBAAAA
The following error was encountered:
Invalid Request
Some aspect of the HTTP Request is invalid. Possible problems:
Missing or unknown request method
Missing URL
Missing HTTP Identifier (HTTP/1.0)
Request is too large
Content-Length missing for POST or PUT requests
Illegal character in hostname; underscores are not allowed
squid скомпилин с такими опциями
Код: Выделить всё
11:23 /usr/ports/www/squid/#cat Makefile | grep CONFIGURE
# SQUID_CONFIGURE_ARGS
# `make SQUID_CONFIGURE_ARGS="--enable-dlmalloc --enable-truncate" install'
GNU_CONFIGURE= yes
.if !defined(SQUID_CONFIGURE_ARGS) || ${SQUID_CONFIGURE_ARGS:M*--disable-unlinkd*} == ""
CONFIGURE_ARGS= --bindir=${PREFIX}/sbin \
CONFIGURE_ARGS+= --enable-auth="basic digest negotiate ntlm" \
CONFIGURE_ARGS+= --enable-negotiate-auth-helpers="squid_kerb_auth"
# Nil aufs threads is default, set any other value via SQUID_CONFIGURE_ARGS
CONFIGURE_ARGS+= --with-pthreads
CONFIGURE_ARGS+= --enable-coss-aio-ops
CONFIGURE_ARGS+= --enable-storeio="${storage_schemes}"
CONFIGURE_ARGS+= --enable-delay-pools
CONFIGURE_ARGS+= --enable-snmp
CONFIGURE_ARGS+= --disable-carp
CONFIGURE_ARGS+= --enable-ssl \
CONFIGURE_ARGS+= --enable-icmp
CONFIGURE_ARGS+= --disable-internal-dns
CONFIGURE_ARGS+= --enable-htcp
CONFIGURE_ARGS+= --enable-forw-via-db
CONFIGURE_ARGS+= --enable-cache-digests
CONFIGURE_ARGS+= --disable-wccp
CONFIGURE_ARGS+= --enable-wccpv2
CONFIGURE_ARGS+= --disable-http-violations
CONFIGURE_ARGS+= --disable-ident-lookups
CONFIGURE_ARGS+= --enable-referer-log
CONFIGURE_ARGS+= --enable-useragent-log
CONFIGURE_ARGS+= --enable-arp-acl
CONFIGURE_ARGS+= --enable-pf-transparent
CONFIGURE_ARGS+= --enable-ipf-transparent
CONFIGURE_ARGS+= --enable-follow-x-forwarded-for
CONFIGURE_ARGS+= --disable-kqueue
CONFIGURE_ARGS+= --with-large-files --enable-large-cache-files
CONFIGURE_ARGS+= --enable-stacktraces
CONFIGURE_ARGS+= --enable-err-languages="${SQUID_LANGUAGES}" \
CONFIGURE_ARGS+= ${SQUID_CONFIGURE_ARGS}
CONFIGURE_ENV+= CFLAGS="${CFLAGS}" \
11:23 /usr/ports/www/squid/#
настройки все дефолтные кроме добавления тех которые нужны для авторизации в AD
Проблема как раз и состоит в том чтобы проходила авторизация даже в том случее когда конект проходит по правилу фаервола
если есть идеи как ето реализовать пожалуста ткните в нужную сторону
Re: ipfw squid 2 setevie
Добавлено: 2008-12-25 12:33:01
paradox
ой что то мне кажеться не заработает оно так как ты хочешь....
хотя может ошибаюсь