URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 5341
[ Назад ]

Исходное сообщение
"Иерархия прокси. Аутентификация. "

Отправлено sanchesws , 17-Янв-08 10:47 
Доброго времени суток.
Есть 2 прокси на двух машинах ip1 и ip2.
Настроен обмен кешем между ними.
На ip1 ограничение доступа по ипам, а вот после того, как был настроен доступ к ip2 только по логину и паролю, все юзера, работающие через ip1 стали получать сообщение о том, что необходима аутентификация _именно на ip1_, и сообщение возникает только после того, так проски ip1 пытается что-то стянуть из кеша прокси ip2.
Настройки ip1
cache_peer ip2         sibling   3128  3130  proxy-only

Настойки ip2
cache_peer ip1         sibling   3128  3130  proxy-only
# включение авторизации
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
acl mb  proxy_auth [-i] user
http_access allow mb
http_access deny all.


Как понял из мануала, есть решение вопроса добавлением опции login=user:password в конфиг ip1:
cache_peer ip2         sibling   3128  3130  proxy-only login=user:password

А есть ли способы избежать запроса ненужной аутентификации для юзеров прокси ip1 без применения опции login, дабы не светить лишний раз логинами и паролями на доступ к ip2?


Содержание

Сообщения в этом обсуждении
"Иерархия прокси. Аутентификация. "
Отправлено sanchesws , 17-Янв-08 11:41 
Забыл добавить: squid/2.6.STABLE18.



"Иерархия прокси. Аутентификация. "
Отправлено Дмитрий Ю. Карпов , 17-Янв-08 13:12 
На ip2 настрой доступ от ip1 по номеру, причём это разрешение д.б. до проверок разрешения по имени.

PS: Это элементарно.


"Иерархия"
Отправлено Andrey Mitrofanov , 17-Янв-08 13:23 
>Настройки ip1
>cache_peer ip2         sibling  
> 3128  3130  proxy-only
>
>Настойки ip2
>cache_peer ip1         sibling  
> 3128  3130  proxy-only

Кстати, если "в обратную сторону" тоже "пиришь", то в конфиге ip1 стоит наверное тоже озаботиться разграничением доступа - тех, кто через ip2 пришёл.

># включение авторизации
>auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
>acl mb  proxy_auth [-i] user

acl ip1 <...чего-нибудь, определяющее доступ с ip1, `src a.b.c.d`, например...>
miss_access deny ip1  #только к тому, что уже в кеше пускаем, так?
http_access allow ip1
#то есть разрешить^^^ доступ до-vvv- проверки паролей
>http_access allow mb
>http_access deny all.
>Как понял из мануала, есть решение вопроса добавлением опции login=user:password в конфиг

ну, да, наверное...

>А есть ли способы избежать запроса ненужной аутентификации для юзеров прокси ip1
>без применения опции login,

Я так понимаю, если `http_access allow` разрешит доступ до первой проверки пароля (=использования `acl * *_auth`), получится доступ без пароля. См.выше.
>дабы не светить лишний раз логинами и паролями

это как?? кругом враги снифят трафик или все кругом регулярно читают твой squid.conf?
>на доступ к ip2?


"Иерархия"
Отправлено sanchesws , 04-Фев-08 13:26 
Спасибо!
Просто была попытка создать дружественные прокси среди юзеров одного провайдера, с целью экономии трафика.