>О великие гуру, будте нисходительны к простым изерам, помогите :) > >Есть Linux Debian 3.1 на машине с 2 сетевыми (одна в inet >другая в local). >Поднят Squid и настроены IPTABLES. >Squid настроен в режиме прозрачного прокси, форватинг включен и т.д.(делал по статье >на сайте) >Также настроен стандартный метот футофикации пользователей, завекдены пользователи и добавлены правила. >на клиетских машинах вбит GW и DNS роутера. > >Проблема такая >При обрашении к прокси как обычно(в IE забиты настройки прокси) - все >зашибись, спрашивается пароль и все дальше работает. >Но, при обрашении без данных настроек, squid выкидывает "доступ запрешен" не спрашивая >не имени пользователя ни пароль. При этом обрашение на WEB сайт >внутри сети захожу а на все остальные "Доступ запрешен" >Заметил особенность, если пишу acl acces all в squid пускает на сайты. >понятно что дело в настройках авторизации но в каких не вьеду. >Обьясните кто может. > >настройки Squid > acl all src 0.0.0.0/0.0.0.0 >acl network src 192.168.0.1-192.168.0.254/24 >acl manager proto cache_object >acl localhost src 127.0.0.1/255.255.255.255 >acl to_localhost dst 127.0.0.0/8 >acl SSL_ports port 443 563 # https, snews >acl SSL_ports port 873 # rsync >acl Safe_ports port 80 # http >acl Safe_ports port 21 # ftp >acl Safe_ports port 443 563 # https, snews >acl Safe_ports port 70 # gopher >acl Safe_ports port 210 # wais >acl Safe_ports port 1025-65535 # unregistered ports >acl Safe_ports port 280 # http-mgmt >acl Safe_ports port 488 # gss-http >acl Safe_ports port 591 # filemaker >acl Safe_ports port 777 # multiling http >acl Safe_ports port 631 # cups >acl Safe_ports port 873 # rsync >acl Safe_ports port 901 # SWAT >acl purge method PURGE >acl CONNECT method CONNECT >acl Users_web proxy_auth imotkov eisaev dafanasiev vkunshin icq avasilev nanohin aorlov emishev >dfedorov >acl Admin_web proxy_auth roman >acl icq_users proxy_auth icq >acl icq_ports myport 443 >acl Bad_files url_regex -i .mp .avi .exe >acl Bad_sites url_regex -i sex teen porno > >настройка IPTables ># Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006 > >*filter >:FORWARD ACCEPT [0:0] >:INPUT DROP [0:0] >:OUTPUT ACCEPT [0:0] ># Accept traffic from internal interfaces >-A INPUT ! -i eth1 -j ACCEPT ># Accept traffic with the ACK flag set >-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT ># Allow incoming data that is part of a connection we established > >-A INPUT -m state --state ESTABLISHED -j ACCEPT ># Allow data that is related to existing connections >-A INPUT -m state --state RELATED -j ACCEPT ># Accept responses to DNS queries >-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT > ># Accept responses to our pings >-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT ># Accept notifications of unreachable hosts >-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT ># Accept notifications to reduce sending speed >-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT ># Accept notifications of lost packets >-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT ># Accept notifications of protocol problems >-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT >-A INPUT -p tcp -m tcp --dport 5190 -j ACCEPT >COMMIT ># Completed on Wed Apr 5 16:35:14 2006 ># Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006 > >*mangle >:PREROUTING ACCEPT [0:0] >:INPUT ACCEPT [0:0] >:FORWARD ACCEPT [0:0] >:OUTPUT ACCEPT [0:0] >:POSTROUTING ACCEPT [0:0] >COMMIT ># Completed on Wed Apr 5 16:35:14 2006 ># Generated by iptables-save v1.2.11 on Wed Apr 5 16:35:14 2006 > >*nat >:OUTPUT ACCEPT [0:0] >:PREROUTING ACCEPT [0:0] >:POSTROUTING ACCEPT [0:0] >-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 > >COMMIT ># Completed on Wed Apr 5 16:35:14 2006 На гуру не тяну, но если я не ошибаюсь, прозрачный прокси и авторизация не совместимы в принципе. Были кажется какие-то патчи, но сторонних разработчиков. То есть когда в настройках вы указываете параметры прокси все ок и вы проксируетесь так сказать осознанно, но если же настроек на клиенте нет и вы проксируетесь прозрачно, то упссс....
|