форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение		[ Отслеживать ]

"Обновление касперского через squid (метод GET)"	+/–
Сообщение от zhum (ok) on 16-Июл-12, 16:54
squid 3. конфиг следующая: auth_param ntlm program /usr/bin/ntlm_auth -d --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 15                                                                            auth_param basic program /usr/lib/squid/squid_ldap_auth #Бейсик аутентификация auth_param basic children 5 auth_param basic realm KONTORA.RU external_acl_type ldapg children=10 ttl=75 negative_ttl=90  %LOGIN /usr/lib/squid/squid_ldap_group #проверка принадлежности к группе acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 acl localnet src 10.0.0.0/8    # RFC1918 possible internal network acl localnet src 172.16.0.0/12    # RFC1918 possible internal network acl localnet src fc00::/7       # RFC 4193 local private network range acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines acl magent_sites dst 94.100.178.0/24 94.100.179.0/24 94.100.184.0/24 94.100.186.0/24 acl port_magent port 443 acl Safe_ports port 80        # http acl Safe_ports port 21        # ftp acl Safe_ports port 443        # https acl Safe_ports port 70        # gopher acl Safe_ports port 210        # wais acl Safe_ports port 1025-65535    # unregistered ports acl Safe_ports port 280        # http-mgmt acl Safe_ports port 488        # gss-http acl Safe_ports port 591        # filemaker acl Safe_ports port 777        # multiling http acl CONNECT method CONNECT acl POST method POST acl SSL_ports port 443 acl SSL_ports port 2041 acl SSL_ports port 2042 acl auth proxy_auth REQUIRED acl worktime time MTWHFA 8:00-20:00 acl wt external ldapg wtime acl magent external ldapg magent acl ptf proto FTP always_direct allow ptf http_access allow manager localhost http_access deny manager http_access deny !Safe_ports !auth http_access deny CONNECT SSL_ports magent_sites !magent http_access allow POST http_access allow auth wt worktime http_access allow localhost http_access deny all ################################################################## при попытке обновления антивируса касперского в логе squid пишет следующее: 1342419085.811 0 192.168.52.112 TCP_DENIED/407 4013 GET http://dnl-02.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html 1342419085.825 0 192.168.52.112 TCP_DENIED/407 4356 GET http://dnl-02.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html на экран выводится окно антивируса где просит ввести логин и пароль. Если ввести логин и пароль он не принимает. Думаю это из за метода запроса GET, этот метод у меня в конфиге не прописан. Вопрос как разрешит использование метода GET всем, но при этом чтоб тоже работала аутентификация пользователей. Пробовал добавить: acl GET method GET acl avp dstdom_regex -i "/etc/squid/avp.txt"  #файл содержит адрес .geo.kaspersky.com http_access allow GET auth avp но в логах пишет тоже самое: 1342427502.065 0 192.168.52.112 TCP_DENIED/407 4013 GET http://dnl-06.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html 1342427502.077 1 192.168.52.112 TCP_DENIED/407 4356 GET http://dnl-06.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обновление касперского через squid (метод GET)"	+/–
Сообщение от PavelR (ok) on 17-Июл-12, 07:17
> Пробовал добавить: > http_access allow GET auth avp Порядок следования директив http_access - важен.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Обновление касперского через squid (метод GET)"	+/–
	Сообщение от zhum (ok) on 17-Июл-12, 07:41
	>> Пробовал добавить: >> http_access allow GET auth avp > Порядок следования директив http_access - важен. директиву http_access allow GET auth avp я размещал на самом верху. Сразу после always_direct allow ptf. Думаю вы согласитесь что в этом случае доступ должен был быть разрешен. т.е. до первого совпадения просматривается список.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Обновление касперского через squid (метод GET)"	+/–
	Сообщение от PavelR (ok) on 17-Июл-12, 07:56
	>>> Пробовал добавить: >>> http_access allow GET auth avp >> Порядок следования директив http_access - важен. > директиву > http_access allow GET auth avp > я размещал на самом верху. Сразу после always_direct allow ptf. > Думаю вы  согласитесь что в этом случае доступ должен был быть разрешен. пожалуй, нет, не соглашусь. =))))))) Я думаю, что: - оно работает точно в соответствии с настройкой - вы не можете детально и точно описать, чего хотите добиться. > т.е. до первого совпадения просматривается список. По-моему, вы не правы. Что вы понимаете под словом "совпадение"?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Обновление касперского через squid (метод GET)"	+/–
	Сообщение от zhum (ok) on 17-Июл-12, 08:28
	>[оверквотинг удален] >> директиву >> http_access allow GET auth avp >> я размещал на самом верху. Сразу после always_direct allow ptf. >> Думаю вы  согласитесь что в этом случае доступ должен был быть разрешен. > пожалуй, нет, не соглашусь. =))))))) > Я думаю, что: > - оно работает точно в соответствии с настройкой > - вы не можете детально и точно описать, чего хотите добиться. >> т.е. до первого совпадения просматривается список. > По-моему, вы не правы. Что вы понимаете под словом "совпадение"? Я хочу добиться того чтоб squid пропускал запросы (GET/POST/CONNECT). Но при этом пользователь должен пройти аутентификация (у меня она берется с Active Directory). Как пример разбираюсь с GET. Что я делал для этого. Настроил аутентификацию ntlm, авторизацию через группы ldap. Описал легальные порты в конфиге как показано выше. Дополонительно все методы в acl. потом самым первым прописываю http_access allow GET auth avp теперь, о "совпадение". По этой директиве должно было быть такое совпадение: разрешить если запрос GET, пользователь аутентифицирован, сайт назначения из списка avp. ну и если судит по следующим логам 1342427502.065 0 192.168.52.112 TCP_DENIED/407 4013 GET http://dnl-06.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html 1342427502.077 1 192.168.52.112 TCP_DENIED/407 4356 GET http://dnl-06.geo.kaspersky.com/index/u0607g.xml.dif - NONE/- text/html то должно было совпасть. Может и ошибаюсь. Но в чем?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Обновление касперского через squid (метод GET)"	+/–
	Сообщение от PavelR (ok) on 17-Июл-12, 10:52
	> то должно было совпасть. > Может и ошибаюсь. Но в чем? Берем директиву >>> http_access allow GET auth avp и проверяем её по частям, выявляя неработающую часть. Потом лечим неработающую часть.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Обновление касперского через squid (метод GET)"	+/–
	Сообщение от zhum (ok) on 17-Июл-12, 11:11
	>> то должно было совпасть. >> Может и ошибаюсь. Но в чем? > Берем директиву >>>> http_access allow GET auth avp > и проверяем её по частям, выявляя неработающую часть. Потом лечим неработающую часть. работает в любой вариации но только без auth. хм... интересно а каспер умеет работать с ntlm?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Обновление касперского через squid (метод GET)"	+/–
	Сообщение от PavelR (ok) on 17-Июл-12, 12:28
	> интересно а каспер умеет работать с ntlm? А что на эту тему говорит документация к программному продукту или его техническая поддержка ?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Обновление касперского через squid (метод GET)"	+/–
	Сообщение от PavelR (ok) on 18-Июл-12, 06:31
	>> интересно а каспер умеет работать с ntlm? > А что на эту тему говорит документация к программному продукту или его > техническая поддержка ? понятно, они молчат.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема