Добрый день Знатоки. У меня проблема, уже 2 недели ломаю голову.
Ситуация такая. На FreeBsd 2-е сетевухи, одна смотрит в локалку вторая в инет. Поднят Сквид на порт 3128, NAT, и ipfw. Второй срвак на виндах 2003, через зону обратного просмотра ДНС ведется единая авторизация юзврей как в систему так и в инет. Бюстгалтерия работает с банком при помощи Java приложения. Java по портам 9443 и 9080 ведет авторизацию с банком. Это была присказка, а вот теперь начинается сказка.
В понедельник все работало, во вторник уже не работает банк-клиент.
Проблема не в фаерволе, и вот почему. Преведя работу ipfw в open то биш все открыто, ситуация не изменилась.
В логах сквида ОТСУТСТВУЮТ строчки типа DENIED. Приведу часть конфига сквида
СКВИД

#!!!
acl SSL_ports port 411 443 563 4430 9443 9080
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 563    # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
#!!!
acl Safe_ports port 411 4430 9443 9080    # PSBClient
acl CONNECT method CONNECT
#!!!
acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 <- айпи банка
acl ldap_password proxy_auth REQUIRED
external_acl_type acl_q_group negative_ttl=60 ttl=60 children=1 %LOGIN /usr/local/libexec/squid/squid_quota.pl
acl quota_group external acl_q_group

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
#!!!!
http_access allow !Safe_ports
# Deny CONNECT to other than SSL ports
#!!!!
http_access allow CONNECT !SSL_ports
#!!!
http_access allow PSBClient
http_access allow ldap_password quota_group

# And finally deny all other access to this proxy
#!!!!
http_access allow all

Помогите разобраться плиз. Такое чусвто что сам Сквид режет Java еще до фаера, и соот-но до банка. Я не знаю по каким еще портам работает Java. Надеюсь на вашу помощь.
Спасибо

• Squid и банк клиент на Java,alfss, 20:35 , 11-Июл-06
  • Squid и банк клиент на Java,Orentv, 09:12 , 12-Июл-06
    • Squid и банк клиент на Java,LordBayne, 10:20 , 14-Июл-06
      • Squid и банк клиент на Java,krim, 22:31 , 14-Июл-06
      • Squid и банк клиент на Java,krim, 22:34 , 14-Июл-06
        • Squid и банк клиент на Java,pravilov, 12:07 , 26-Июл-06
• Squid и банк клиент на Java,cimmerman, 09:26 , 07-Авг-06
  • Squid и банк клиент на Java,invis, 14:23 , 15-Июл-09
    • Squid и банк клиент на Java,invis, 16:30 , 15-Июл-09
      • Squid и банк клиент на Java,morgot, 13:54 , 24-Авг-09

>Добрый день Знатоки. У меня проблема, уже 2 недели ломаю голову.
>Ситуация такая. На FreeBsd 2-е сетевухи, одна смотрит в локалку вторая в
>инет. Поднят Сквид на порт 3128, NAT, и ipfw. Второй срвак
>на виндах 2003, через зону обратного просмотра ДНС ведется единая авторизация
>юзврей как в систему так и в инет. Бюстгалтерия работает с
>банком при помощи Java приложения. Java по портам 9443 и 9080
>ведет авторизацию с банком. Это была присказка, а вот теперь начинается
>сказка.
>В понедельник все работало, во вторник уже не работает банк-клиент.
>Проблема не в фаерволе, и вот почему. Преведя работу ipfw в open
>то биш все открыто, ситуация не изменилась.
>В логах сквида ОТСУТСТВУЮТ строчки типа DENIED. Приведу часть конфига сквида
>СКВИД
>
>#!!!
>acl SSL_ports port 411 443 563 4430 9443 9080
>acl Safe_ports port 80  # http
>acl Safe_ports port 21  # ftp
>acl Safe_ports port 443 563 # https, snews
>acl Safe_ports port 70  # gopher
>acl Safe_ports port 210  # wais
>acl Safe_ports port 1025-65535 # unregistered ports
>acl Safe_ports port 280  # http-mgmt
>acl Safe_ports port 488  # gss-http
>acl Safe_ports port 591  # filemaker
>acl Safe_ports port 777  # multiling http
>#!!!
>acl Safe_ports port 411 4430 9443 9080 # PSBClient
>acl CONNECT method CONNECT
>#!!!
>acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 <- айпи банка
>acl ldap_password proxy_auth REQUIRED
>external_acl_type acl_q_group negative_ttl=60 ttl=60 children=1 %LOGIN /usr/local/libexec/squid/squid_quota.pl
>acl quota_group external acl_q_group
>
># Only allow cachemgr access from localhost
>http_access allow manager localhost
>http_access deny manager
># Deny requests to unknown ports
>#!!!!
>http_access allow !Safe_ports
># Deny CONNECT to other than SSL ports
>#!!!!
>http_access allow CONNECT !SSL_ports
>#!!!
>http_access allow PSBClient
>http_access allow ldap_password quota_group
>
># And finally deny all other access to this proxy
>#!!!!
>http_access allow all
>
>Помогите разобраться плиз. Такое чусвто что сам Сквид режет Java еще до
>фаера, и соот-но до банка. Я не знаю по каким еще
>портам работает Java. Надеюсь на вашу помощь.
>Спасибо

http_access allow !Safe_ports
если не глючу
ето означет пропустить все порты кроме Safe_ports

как я делаю:
acl icq_port port 5190
acl bank port 443
acl ssl_t port 563
acl connect method CONNECT

http_access allow connect ssl_t
http_access allow connect icq_port
http_access allow connect bank

попробуй так

>http_access allow !Safe_ports
>если не глючу
>ето означет пропустить все порты кроме Safe_ports
>
>как я делаю:
>acl icq_port port 5190
>acl bank port 443
>acl ssl_t port 563
>acl connect method CONNECT
>
>http_access allow connect ssl_t
>http_access allow connect icq_port
>http_access allow connect bank
>
>попробуй так

Попробывал не помагает, сейчас это выглядит вот-так после некоторых исправлений.
#!!!
acl SSL_ports port 411 443 563 4430
acl ssl_t port      563 4430
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 563    # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
#!!!
acl Safe_ports port 411 4430     # PSBClient
acl connect method CONNECT
acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 <- айпи банка
acl ldap_password proxy_auth REQUIRED
external_acl_type acl_q_group negative_ttl=60 ttl=60 children=1 %LOGIN /usr/local/libexec/squid/squid_quota.pl
acl quota_group external acl_q_group
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access allow connect ssl_t
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# We strongly recommend to uncomment the following to protect innocent
# web applications running on the proxy server who think that the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

# Example rule allowing access from your local networks. Adapt
# to list your (internal) IP networks from where browsing should
# be allowed
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks
#!!!
http_access allow PSBClient
http_access allow ldap_password quota_group

# And finally deny all other access to this proxy
http_access deny all

Мля если на этой неделе я не исправлю ситуацию меня просто уволят. ПОМОГИТЕ!!!

>>http_access allow !Safe_ports
>>если не глючу
>>ето означет пропустить все порты кроме Safe_ports
>>
>>как я делаю:
>>acl icq_port port 5190
>>acl bank port 443
>>acl ssl_t port 563
>>acl connect method CONNECT
>>
>>http_access allow connect ssl_t
>>http_access allow connect icq_port
>>http_access allow connect bank
>>
>>попробуй так
>
>
>Попробывал не помагает, сейчас это выглядит вот-так после некоторых исправлений.
>#!!!
>acl SSL_ports port 411 443 563 4430
>acl ssl_t port      563 4430
>acl Safe_ports port 80  # http
>acl Safe_ports port 21  # ftp
>acl Safe_ports port 443 563 # https, snews
>acl Safe_ports port 70  # gopher
>acl Safe_ports port 210  # wais
>acl Safe_ports port 1025-65535 # unregistered ports
>acl Safe_ports port 280  # http-mgmt
>acl Safe_ports port 488  # gss-http
>acl Safe_ports port 591  # filemaker
>acl Safe_ports port 777  # multiling http
>#!!!
>acl Safe_ports port 411 4430  # PSBClient
>acl connect method CONNECT
>acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 <- айпи банка
>acl ldap_password proxy_auth REQUIRED
>external_acl_type acl_q_group negative_ttl=60 ttl=60 children=1 %LOGIN /usr/local/libexec/squid/squid_quota.pl
>acl quota_group external acl_q_group
>http_access allow manager localhost
>http_access deny manager
># Deny requests to unknown ports
>http_access allow connect ssl_t
>http_access deny !Safe_ports
># Deny CONNECT to other than SSL ports
>http_access deny CONNECT !SSL_ports
>#
># We strongly recommend to uncomment the following to protect innocent
># web applications running on the proxy server who think that the
>only
># one who can access services on "localhost" is a local user
>
>#http_access deny to_localhost
>#
># INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
>
>
># Example rule allowing access from your local networks. Adapt
># to list your (internal) IP networks from where browsing should
># be allowed
>#acl our_networks src 192.168.1.0/24 192.168.2.0/24
>#http_access allow our_networks
>#!!!
>http_access allow PSBClient
>http_access allow ldap_password quota_group
>
># And finally deny all other access to this proxy
>http_access deny all
>
>Мля если на этой неделе я не исправлю ситуацию меня просто уволят.
>ПОМОГИТЕ!!!

У меня у самого довольно часто бывали аналогичные случаи с банк-клиентами. Тоже довольно долго трахался со Squid-ом. А проблему решил, что пустил соединения по этим портам через NAT, в обход прокси. Может вам попробовать тоже так сделать?

может и лоховский совет, но меня несколько раз выручал при работе с банковскими клиентами. Попробуй создать заново кешь.

попробуй переинициализировать кешь
может и лоховский совет, но меня несколько раз выручал при работе с банковскими клиентами :)

nat +1
  

>В логах сквида ОТСУТСТВУЮТ строчки типа DENIED. Приведу часть конфига сквида
СКВИД
А что в логах то ?
если ipfw мешает то в cache.log  должна быть запись о неудачной попытке соединения на такойто ip на такойто порт,а в ассеss логе должна быть 503 ошибка

Может сервера банка перегружены о долго устанавливают соединения а прокся закрыват их по таймауту

Если java клиент добирается до сквида то полюбому в логах это должно быть видно

Попробуй с сервера телнетится на порты банка может их тебе по пути срезают где-нибудь

Точно такая же проблема с точно таким же банк клиентом. Только у меня с одного компа заходит. А с другого нет. Вообще не пойму в чём косяк. Всё уже перерыл.
SSL_ports 9080 9443 80
Safe_ports 9080 9443 80
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Я не так давно администрирую фряху и соотв. не всё понимаю - но тут вроде всё чисто. ipfw смотрел. Вообщем не знаю.

Подскажите пожалуйста как прокинуть эти три порта через NAT миную прокси ?
И ещё такой вопрос. При соединении ява апплет на одном компе открывает новое окошко где пишет свои логи по коннекту, это на том компе на котором соединяется. А на втором нет такого окна, может кто-то знает как включить эти логи ?

оказывается "Java Web Start" по адресу http://filials.payment.ru/?enter не может соединиться, а вот "Java апплет" может. В чём причина я НЕ понимаю :(

Я в настройках Java Console ставил Direct connect, а в ipfw открывал эти порты, всё работает на ура...