https://www.opennet.ru/openforum/vsluhforumID12/3938.html ПРивет ВСЕМ!<br>Ребят, юзеры SQUID'а, такой вопрос: есть банковский сайтик, где используются всякие java-штуки (кнопочки по отправке файлов, загрузке всяких ключей и т.п.) - вот и не работает через сквид, точно не работает - java выкидывает окно на авторизацию доступа к прокси, при вводе логина/пароля снова несколько раз окно запроса и в итоге аплеты и т.п. не загружаются.<br>использую доменную авторизацию доступа к нету. в конфиге конечно прописано несколько acl по доступу к разным ресурсам (HTTP, FTP, porno ...)<br>вот кусочек логов Java Consol:<br>java.io.IOException: Unable to tunnel through proxy. Proxy returns "HTTP/1.0 407 Proxy Authentication Required"<br>at sun.net.www.protocol.http.HttpURLConnection.doTunneling(Unknown Source)<br>at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.setProxiedClient(DashoA6275)<br>at sun.net.www.protocol.https.PluginDelegateHttpsURLConnection.superConnect(Unknown Source)<br>...<br>at java.security.AccessController.doPrivileged(Native Method)<br>at sun.net.www.protocol.https. https://www.opennet.ru/openforum/vsluhforumID12/3938.html#8 Wed, 25 Oct 2017 03:19:34 GMT &gt; Если хотите NTLM авторизацию для Java Applets - используйте родную, microsoft'овскую (а <br>&gt; не sun'овскую) JVM. по крайней мере распространенный ibank с ней работает <br>&gt; корректно <br><br>Мы решили этот вопрос так<br>acl allowed_sites url_regex "/etc/squid/allowed_sites.txt"<br><br>ну и разрешили этот урл без авторизации.<br> https://www.opennet.ru/openforum/vsluhforumID12/3938.html#7 Wed, 20 Jun 2007 15:30:19 GMT <br>Если хотите NTLM авторизацию для Java Applets - используйте родную, microsoft'овскую (а не sun'овскую) JVM. по крайней мере распространенный ibank с ней работает корректно<br><br> https://www.opennet.ru/openforum/vsluhforumID12/3938.html#6 Fri, 21 Jul 2006 11:07:07 GMT <br>&gt;Для обеспечения работы Java-апплетов с Сервером &laquo;iBank&raquo; через прокси-сервер Squid необходимо соблюдение <br>&gt;следующих правил: <br>&gt;<br>... ... ...<br>&gt; 3. При запуске апплетов системы iBank пользователю нужно указывать <br>&gt;ip адрес и порт (3128 по умолчанию) proxy-сервера Squid. <br>&gt;<br>&gt;<br><br>Ок, биг сенкс<br>Пороюсь по настройкам как буду свободен более менее<br>Вопрос конечно уже давно был, но сенкс за подробности =)<br>Я уже сам потом понял, что авторизация не проходит, даж ацка не могёт<br>работать с авторизацией, пришлось выпускать коннект на ацку по апишникам<br>но эт не страшно =)<br> https://www.opennet.ru/openforum/vsluhforumID12/3938.html#5 Fri, 21 Jul 2006 10:42:46 GMT &gt;&gt;возможно трабла с SSL ! пробуй изменить правила для SSL <br>&gt;&gt;acl SSL_ports port 443 <br>&gt;&gt;acl CONNECT method CONNECT <br>&gt;&gt;acl SSL_ports port 443 <br>&gt;&gt;http_access allow CONNECT LogonUser SSL_ports <br>&gt;&gt;http_access allow CONNECT inet_users SSL_ports <br>&gt;&gt;http_access deny CONNECT !SSL_ports <br>&gt;&gt;остальные deny убери здесь <br>&gt;&gt;<br>&gt;&gt;http_access allow CONNECT LogonUser inet_users SSL_ports - применяет логическое "И" <br>&gt;&gt;для всех трех ! разницу думаю понял ? <br>&gt;ну про разницу, точнее логическое "И", мне рассказывать не надо, с этим <br>&gt;я уже сталкивался =) , поэтому и стал заморачиваться с более <br>&gt;точными правилами доступа в Инет, вплоть до портов и урлов <br>&gt;почему использую именно такую конструкцию - http_access allow CONNECT LogonUser inet_users SSL_ports <br>&gt;? - чтобы пускать на SSL аутентифицированных юзерей из acl inet_users <br>&gt;<br>&gt;можно здесь выкинуть LogonUser, но по-моему (раньше делал так) в таком случае <br>&gt;будет запрос на ввод логина/пароля. При обращении на банковский сайт java <br>&gt;типа сама (окошко запроса име https://www.opennet.ru/openforum/vsluhforumID12/3938.html#4 Fri, 17 Mar 2006 08:11:43 GMT &gt;возможно трабла с SSL ! пробуй изменить правила для SSL <br>&gt;acl SSL_ports port 443 <br>&gt;acl CONNECT method CONNECT <br>&gt;acl SSL_ports port 443 <br>&gt;http_access allow CONNECT LogonUser SSL_ports <br>&gt;http_access allow CONNECT inet_users SSL_ports <br>&gt;http_access deny CONNECT !SSL_ports <br>&gt;остальные deny убери здесь <br>&gt;<br>&gt;http_access allow CONNECT LogonUser inet_users SSL_ports - применяет логическое "И" <br>&gt;для всех трех ! разницу думаю понял ? <br>ну про разницу, точнее логическое "И", мне рассказывать не надо, с этим я уже сталкивался =) , поэтому и стал заморачиваться с более точными правилами доступа в Инет, вплоть до портов и урлов<br>почему использую именно такую конструкцию - http_access allow CONNECT LogonUser inet_users SSL_ports ? - чтобы пускать на SSL аутентифицированных юзерей из acl inet_users<br>можно здесь выкинуть LogonUser, но по-моему (раньше делал так) в таком случае будет запрос на ввод логина/пароля. При обращении на банковский сайт java типа сама (окошко запроса имеет символику jav'ы) сначала выводи https://www.opennet.ru/openforum/vsluhforumID12/3938.html#3 Fri, 17 Mar 2006 07:44:28 GMT возможно трабла с SSL ! пробуй изменить правила для SSL<br>acl SSL_ports port 443<br>acl CONNECT method CONNECT<br>acl SSL_ports port 443<br>http_access allow CONNECT LogonUser SSL_ports<br>http_access allow CONNECT inet_users SSL_ports<br>http_access deny CONNECT !SSL_ports<br>остальные deny убери здесь<br><br>http_access allow CONNECT LogonUser inet_users SSL_ports - применяет логическое "И" для всех трех ! разницу думаю понял ? <br>если не поможет - выпусти нужные станции напрямую через NAT/МАСКАРАД, без прокси <br><br> https://www.opennet.ru/openforum/vsluhforumID12/3938.html#2 Fri, 17 Mar 2006 07:04:44 GMT &gt;джаву сквид пускает !<br>ну ладна-ладна... не кипятись только =)<br>я ж сказал, что это догадки, а не утверждение<br>возникло потому, что пробовал ставить разрешение на всё без всяких запретов доступа к урлам и т.д.<br>&gt; или автроизация кривая либо аксели у тебя кривые<br>всё может быть - от ошибок никто не застрахован<br>вот для этого привожу свои аксели и аутентификацию (через самбу в вин домене):<br><br>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp<br>auth_param ntlm children 5<br>auth_param ntlm max_challenge_reuses 0<br>auth_param ntlm max_challenge_lifetime 2 minutes<br><br>acl all src 0.0.0.0/0.0.0.0<br>acl manager proto cache_object<br>acl localhost src 127.0.0.1/255.255.255.255<br>acl to_localhost dst 127.0.0.0/8<br><br>acl CONNECT method CONNECT<br><br>http_access allow manager localhost<br>http_access deny manager<br>http_access deny to_localhost<br><br># Access to HTTP or HTTPS Sources<br>acl HTTP_dest port 443 80 8080 8108<br># Access to FTP Sources<br>acl FTP_dest url_regex -i ^ftp://<br><br># Name of Logon Users<br> https://www.opennet.ru/openforum/vsluhforumID12/3938.html#1 Fri, 17 Mar 2006 06:14:38 GMT &gt;в чём проблема? догадки - squid не пускает java-ресурсы по умолчанию, тогда <br>&gt;каким образом это разрешить? <br>джаву сквид пускает ! или автроизация кривая либо аксели у тебя кривые <br>java.io.IOException: Unable to tunnel through proxy. Proxy returns "HTTP/1.0 407 Proxy Authentication Required" - что за туннель требуется ? <br><br><br>