forum.opennet.ru

Составление сообщения

Исходное сообщение

"Война с прозрачным прокси"
Отправлено DrLivsi, 20-Апр-06 16:15

О великие гуру, будте нисходительны к простым изерам, помогите :)
Есть Linux Debian 3.1 на машине с 2 сетевыми (одна в inet другая в local).
Поднят Squid и настроены IPTABLES.
Squid настроен в режиме прозрачного прокси, форватинг включен и т.д.(делал по статье на сайте)
Также настроен стандартный метот футофикации пользователей, завекдены пользователи и добавлены правила.
на клиетских машинах вбит GW и DNS роутера.
Проблема такая
При обрашении к прокси как обычно(в IE забиты настройки прокси) - все зашибись, спрашивается пароль и все дальше работает.
Но, при обрашении без данных настроек, squid выкидывает "доступ запрешен" не спрашивая не имени пользователя ни пароль. При этом обрашение на WEB сайт внутри сети захожу а на все остальные "Доступ запрешен"
Заметил особенность, если пишу acl acces all в squid пускает на сайты. понятно что дело в настройках авторизации но в каких не вьеду. Обьясните кто может.
настройки Squid
acl all src 0.0.0.0/0.0.0.0
acl network src 192.168.0.1-192.168.0.254/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl Users_web proxy_auth imotkov eisaev dafanasiev vkunshin icq avasilev nanohin aorlov emishev dfedorov
acl Admin_web proxy_auth roman
acl icq_users proxy_auth icq
acl icq_ports myport 443
acl Bad_files url_regex -i .mp .avi .exe
acl Bad_sites url_regex -i sex teen porno
настройка IPTables
# Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Accept traffic from internal interfaces
-A INPUT ! -i eth1 -j ACCEPT
# Accept traffic with the ACK flag set
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established
-A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections
-A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
# Accept notifications of unreachable hosts
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5190 -j ACCEPT
COMMIT
# Completed on Wed Apr  5 16:35:14 2006
# Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Apr  5 16:35:14 2006
# Generated by iptables-save v1.2.11 on Wed Apr  5 16:35:14 2006
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
COMMIT
# Completed on Wed Apr  5 16:35:14 2006

Исходное сообщение
"Война с прозрачным прокси" Отправлено DrLivsi, 20-Апр-06 16:15
О великие гуру, будте нисходительны к простым изерам, помогите :) Есть Linux Debian 3.1 на машине с 2 сетевыми (одна в inet другая в local). Поднят Squid и настроены IPTABLES. Squid настроен в режиме прозрачного прокси, форватинг включен и т.д.(делал по статье на сайте) Также настроен стандартный метот футофикации пользователей, завекдены пользователи и добавлены правила. на клиетских машинах вбит GW и DNS роутера. Проблема такая При обрашении к прокси как обычно(в IE забиты настройки прокси) - все зашибись, спрашивается пароль и все дальше работает. Но, при обрашении без данных настроек, squid выкидывает "доступ запрешен" не спрашивая не имени пользователя ни пароль. При этом обрашение на WEB сайт внутри сети захожу а на все остальные "Доступ запрешен" Заметил особенность, если пишу acl acces all в squid пускает на сайты. понятно что дело в настройках авторизации но в каких не вьеду. Обьясните кто может. настройки Squid acl all src 0.0.0.0/0.0.0.0 acl network src 192.168.0.1-192.168.0.254/24 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 # https, snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT acl Users_web proxy_auth imotkov eisaev dafanasiev vkunshin icq avasilev nanohin aorlov emishev dfedorov acl Admin_web proxy_auth roman acl icq_users proxy_auth icq acl icq_ports myport 443 acl Bad_files url_regex -i .mp .avi .exe acl Bad_sites url_regex -i sex teen porno настройка IPTables # Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006 filter :FORWARD ACCEPT [0:0] :INPUT DROP [0:0] :OUTPUT ACCEPT [0:0] # Accept traffic from internal interfaces -A INPUT ! -i eth1 -j ACCEPT # Accept traffic with the ACK flag set -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT # Allow incoming data that is part of a connection we established -A INPUT -m state --state ESTABLISHED -j ACCEPT # Allow data that is related to existing connections -A INPUT -m state --state RELATED -j ACCEPT # Accept responses to DNS queries -A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT # Accept responses to our pings -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT # Accept notifications of unreachable hosts -A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT # Accept notifications to reduce sending speed -A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT # Accept notifications of lost packets -A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT # Accept notifications of protocol problems -A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT -A INPUT -p tcp -m tcp --dport 5190 -j ACCEPT COMMIT # Completed on Wed Apr 5 16:35:14 2006 # Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006 mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Wed Apr 5 16:35:14 2006 # Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006 *nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 COMMIT # Completed on Wed Apr 5 16:35:14 2006

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру