The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Squid и банк клиент на Java"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [ Отслеживать ]

"Squid и банк клиент на Java"  +/
Сообщение от Orentv (ok) on 10-Июл-06, 14:57 
Добрый день Знатоки. У меня проблема, уже 2 недели ломаю голову.
Ситуация такая. На FreeBsd 2-е сетевухи, одна смотрит в локалку вторая в инет. Поднят Сквид на порт 3128, NAT, и ipfw. Второй срвак на виндах 2003, через зону обратного просмотра ДНС ведется единая авторизация юзврей как в систему так и в инет. Бюстгалтерия работает с банком при помощи Java приложения. Java по портам 9443 и 9080 ведет авторизацию с банком. Это была присказка, а вот теперь начинается сказка.
В понедельник все работало, во вторник уже не работает банк-клиент.
Проблема не в фаерволе, и вот почему. Преведя работу ipfw в open то биш все открыто, ситуация не изменилась.
В логах сквида ОТСУТСТВУЮТ строчки типа DENIED. Приведу часть конфига сквида
СКВИД

#!!!
acl SSL_ports port 411 443 563 4430 9443 9080
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 563    # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
#!!!
acl Safe_ports port 411 4430 9443 9080    # PSBClient
acl CONNECT method CONNECT
#!!!
acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 <- айпи банка
acl ldap_password proxy_auth REQUIRED
external_acl_type acl_q_group negative_ttl=60 ttl=60 children=1 %LOGIN /usr/local/libexec/squid/squid_quota.pl
acl quota_group external acl_q_group

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
#!!!!
http_access allow !Safe_ports
# Deny CONNECT to other than SSL ports
#!!!!
http_access allow CONNECT !SSL_ports
#!!!
http_access allow PSBClient
http_access allow ldap_password quota_group

# And finally deny all other access to this proxy
#!!!!
http_access allow all

Помогите разобраться плиз. Такое чусвто что сам Сквид режет Java еще до фаера, и соот-но до банка. Я не знаю по каким еще портам работает Java. Надеюсь на вашу помощь.
Спасибо

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Squid и банк клиент на Java"  +/
Сообщение от alfss on 11-Июл-06, 20:35 
>Добрый день Знатоки. У меня проблема, уже 2 недели ломаю голову.
>Ситуация такая. На FreeBsd 2-е сетевухи, одна смотрит в локалку вторая в
>инет. Поднят Сквид на порт 3128, NAT, и ipfw. Второй срвак
>на виндах 2003, через зону обратного просмотра ДНС ведется единая авторизация
>юзврей как в систему так и в инет. Бюстгалтерия работает с
>банком при помощи Java приложения. Java по портам 9443 и 9080
>ведет авторизацию с банком. Это была присказка, а вот теперь начинается
>сказка.
>В понедельник все работало, во вторник уже не работает банк-клиент.
>Проблема не в фаерволе, и вот почему. Преведя работу ipfw в open
>то биш все открыто, ситуация не изменилась.
>В логах сквида ОТСУТСТВУЮТ строчки типа DENIED. Приведу часть конфига сквида
>СКВИД
>
>#!!!
>acl SSL_ports port 411 443 563 4430 9443 9080
>acl Safe_ports port 80  # http
>acl Safe_ports port 21  # ftp
>acl Safe_ports port 443 563 # https, snews
>acl Safe_ports port 70  # gopher
>acl Safe_ports port 210  # wais
>acl Safe_ports port 1025-65535 # unregistered ports
>acl Safe_ports port 280  # http-mgmt
>acl Safe_ports port 488  # gss-http
>acl Safe_ports port 591  # filemaker
>acl Safe_ports port 777  # multiling http
>#!!!
>acl Safe_ports port 411 4430 9443 9080 # PSBClient
>acl CONNECT method CONNECT
>#!!!
>acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 <- айпи банка
>acl ldap_password proxy_auth REQUIRED
>external_acl_type acl_q_group negative_ttl=60 ttl=60 children=1 %LOGIN /usr/local/libexec/squid/squid_quota.pl
>acl quota_group external acl_q_group
>
># Only allow cachemgr access from localhost
>http_access allow manager localhost
>http_access deny manager
># Deny requests to unknown ports
>#!!!!
>http_access allow !Safe_ports
># Deny CONNECT to other than SSL ports
>#!!!!
>http_access allow CONNECT !SSL_ports
>#!!!
>http_access allow PSBClient
>http_access allow ldap_password quota_group
>
># And finally deny all other access to this proxy
>#!!!!
>http_access allow all
>
>Помогите разобраться плиз. Такое чусвто что сам Сквид режет Java еще до
>фаера, и соот-но до банка. Я не знаю по каким еще
>портам работает Java. Надеюсь на вашу помощь.
>Спасибо

http_access allow !Safe_ports
если не глючу
ето означет пропустить все порты кроме Safe_ports

как я делаю:
acl icq_port port 5190
acl bank port 443
acl ssl_t port 563
acl connect method CONNECT

http_access allow connect ssl_t
http_access allow connect icq_port
http_access allow connect bank

попробуй так

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Squid и банк клиент на Java"  +/
Сообщение от Orentv (ok) on 12-Июл-06, 09:12 
>http_access allow !Safe_ports
>если не глючу
>ето означет пропустить все порты кроме Safe_ports
>
>как я делаю:
>acl icq_port port 5190
>acl bank port 443
>acl ssl_t port 563
>acl connect method CONNECT
>
>http_access allow connect ssl_t
>http_access allow connect icq_port
>http_access allow connect bank
>
>попробуй так


Попробывал не помагает, сейчас это выглядит вот-так после некоторых исправлений.
#!!!
acl SSL_ports port 411 443 563 4430
acl ssl_t port      563 4430
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 563    # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
#!!!
acl Safe_ports port 411 4430     # PSBClient
acl connect method CONNECT
acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 <- айпи банка
acl ldap_password proxy_auth REQUIRED
external_acl_type acl_q_group negative_ttl=60 ttl=60 children=1 %LOGIN /usr/local/libexec/squid/squid_quota.pl
acl quota_group external acl_q_group
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access allow connect ssl_t
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# We strongly recommend to uncomment the following to protect innocent
# web applications running on the proxy server who think that the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS

# Example rule allowing access from your local networks. Adapt
# to list your (internal) IP networks from where browsing should
# be allowed
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks
#!!!
http_access allow PSBClient
http_access allow ldap_password quota_group

# And finally deny all other access to this proxy
http_access deny all

Мля если на этой неделе я не исправлю ситуацию меня просто уволят. ПОМОГИТЕ!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Squid и банк клиент на Java"  +/
Сообщение от LordBayne on 14-Июл-06, 10:20 
>>http_access allow !Safe_ports
>>если не глючу
>>ето означет пропустить все порты кроме Safe_ports
>>
>>как я делаю:
>>acl icq_port port 5190
>>acl bank port 443
>>acl ssl_t port 563
>>acl connect method CONNECT
>>
>>http_access allow connect ssl_t
>>http_access allow connect icq_port
>>http_access allow connect bank
>>
>>попробуй так
>
>
>Попробывал не помагает, сейчас это выглядит вот-так после некоторых исправлений.
>#!!!
>acl SSL_ports port 411 443 563 4430
>acl ssl_t port      563 4430
>acl Safe_ports port 80  # http
>acl Safe_ports port 21  # ftp
>acl Safe_ports port 443 563 # https, snews
>acl Safe_ports port 70  # gopher
>acl Safe_ports port 210  # wais
>acl Safe_ports port 1025-65535 # unregistered ports
>acl Safe_ports port 280  # http-mgmt
>acl Safe_ports port 488  # gss-http
>acl Safe_ports port 591  # filemaker
>acl Safe_ports port 777  # multiling http
>#!!!
>acl Safe_ports port 411 4430  # PSBClient
>acl connect method CONNECT
>acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 <- айпи банка
>acl ldap_password proxy_auth REQUIRED
>external_acl_type acl_q_group negative_ttl=60 ttl=60 children=1 %LOGIN /usr/local/libexec/squid/squid_quota.pl
>acl quota_group external acl_q_group
>http_access allow manager localhost
>http_access deny manager
># Deny requests to unknown ports
>http_access allow connect ssl_t
>http_access deny !Safe_ports
># Deny CONNECT to other than SSL ports
>http_access deny CONNECT !SSL_ports
>#
># We strongly recommend to uncomment the following to protect innocent
># web applications running on the proxy server who think that the
>only
># one who can access services on "localhost" is a local user
>
>#http_access deny to_localhost
>#
># INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
>
>
># Example rule allowing access from your local networks. Adapt
># to list your (internal) IP networks from where browsing should
># be allowed
>#acl our_networks src 192.168.1.0/24 192.168.2.0/24
>#http_access allow our_networks
>#!!!
>http_access allow PSBClient
>http_access allow ldap_password quota_group
>
># And finally deny all other access to this proxy
>http_access deny all
>
>Мля если на этой неделе я не исправлю ситуацию меня просто уволят.
>ПОМОГИТЕ!!!


У меня у самого довольно часто бывали аналогичные случаи с банк-клиентами. Тоже довольно долго трахался со Squid-ом. А проблему решил, что пустил соединения по этим портам через NAT, в обход прокси. Может вам попробовать тоже так сделать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Squid и банк клиент на Java"  +/
Сообщение от krim on 14-Июл-06, 22:31 
может и лоховский совет, но меня несколько раз выручал при работе с банковскими клиентами. Попробуй создать заново кешь.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Squid и банк клиент на Java"  +/
Сообщение от krim on 14-Июл-06, 22:34 
попробуй переинициализировать кешь
может и лоховский совет, но меня несколько раз выручал при работе с банковскими клиентами :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Squid и банк клиент на Java"  +/
Сообщение от pravilov email(??) on 26-Июл-06, 12:07 
nat +1
  
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Squid и банк клиент на Java"  +/
Сообщение от cimmerman (??) on 07-Авг-06, 09:26 
>В логах сквида ОТСУТСТВУЮТ строчки типа DENIED. Приведу часть конфига сквида
СКВИД
А что в логах то ?
если ipfw мешает то в cache.log  должна быть запись о неудачной попытке соединения на такойто ip на такойто порт,а в ассеss логе должна быть 503 ошибка

Может сервера банка перегружены о долго устанавливают соединения а прокся закрыват их по таймауту

Если java клиент добирается до сквида то полюбому в логах это должно быть видно

Попробуй с сервера телнетится на порты банка может их тебе по пути срезают где-нибудь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Squid и банк клиент на Java"  +/
Сообщение от invis (ok) on 15-Июл-09, 14:23 
Точно такая же проблема с точно таким же банк клиентом. Только у меня с одного компа заходит. А с другого нет. Вообще не пойму в чём косяк. Всё уже перерыл.
SSL_ports 9080 9443 80
Safe_ports 9080 9443 80
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Я не так давно администрирую фряху и соотв. не всё понимаю - но тут вроде всё чисто. ipfw смотрел. Вообщем не знаю.

Подскажите пожалуйста как прокинуть эти три порта через NAT миную прокси ?
И ещё такой вопрос. При соединении ява апплет на одном компе открывает новое окошко где пишет свои логи по коннекту, это на том компе на котором соединяется. А на втором нет такого окна, может кто-то знает как включить эти логи ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Squid и банк клиент на Java"  +1 +/
Сообщение от invis (ok) on 15-Июл-09, 16:30 
оказывается "Java Web Start" по адресу http://filials.payment.ru/?enter не может соединиться, а вот "Java апплет" может. В чём причина я НЕ понимаю :(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Squid и банк клиент на Java"  +/
Сообщение от morgot on 24-Авг-09, 13:54 
Я в настройках Java Console ставил Direct connect, а в ipfw открывал эти порты, всё работает на ура...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру