>>возможно трабла с SSL ! пробуй изменить правила для SSL
>>acl SSL_ports port 443
>>acl CONNECT method CONNECT
>>acl SSL_ports port 443
>>http_access allow CONNECT LogonUser SSL_ports
>>http_access allow CONNECT inet_users SSL_ports
>>http_access deny CONNECT !SSL_ports
>>остальные deny убери здесь
>>
>>http_access allow CONNECT LogonUser inet_users SSL_ports - применяет логическое "И"
>>для всех трех ! разницу думаю понял ?
>ну про разницу, точнее логическое "И", мне рассказывать не надо, с этим
>я уже сталкивался =) , поэтому и стал заморачиваться с более
>точными правилами доступа в Инет, вплоть до портов и урлов
>почему использую именно такую конструкцию - http_access allow CONNECT LogonUser inet_users SSL_ports
>? - чтобы пускать на SSL аутентифицированных юзерей из acl inet_users
>
>можно здесь выкинуть LogonUser, но по-моему (раньше делал так) в таком случае
>будет запрос на ввод логина/пароля. При обращении на банковский сайт java
>типа сама (окошко запроса имеет символику jav'ы) сначала выводит мне окно
>с запросом логина/пароля - я ввожу и нифига не пускает, повторяется
>неск раз. в логах сквида вот что:
>TCP_DENIED/407 454 HEAD http://sait.banka.ru:443/SignApplet.jar - NONE/- text/html
>ну и далее с разными вещами джавы (.class и т.д.)
>
>>если не поможет - выпусти нужные станции напрямую через NAT/МАСКАРАД,
>>без прокси
>так наверно и придётся, т.к. сайтик пока слава ... один в наличии
>=)
>Вопросик в таком случае - джава будет грузить всякие свои апплеты и
>т.д. с хоста банка, или обращаться на какие хосты разработчиков джавы?
>думаю вопрос понятен?
Для обеспечения работы Java-апплетов с Сервером «iBank» через прокси-сервер Squid необходимо соблюдение следующих правил:
1. Не должна использоваться аутентификация клиентов - Squid не должен запрашивать у пользователя его имя и пароль. Соответственно не следует использовать директиву
acl <acl_name> proxy_auth REQUIRED
в файле настроек squid.conf.
Если же существует необходимость в использовании этого механизма защиты, то необходимо отключить аутентификацию клиентов при обращении к серверу iBank. Для этого нужно добавить в squid.conf следующие строчки:
acl ibank_dst dst 195.239.34.170/255.255.255.255 (ip адрес сервера iBank)
acl ibank_ports port 443 9091
http_access allow ibank_dst
http_access allow CONNECT ibank_ports
Примечание. Последние две строчки должны быть записаны до строки, в которой запрашивается аутентификация, т.е. если существует access-лист, допустим, users в виде
acl users proxy_auth REQUIRED
то наши две строки должны располагаться до строки
http_access allow users
2. Разрешить соединения на TCP-порты 443, 9091 Сервера «iBank». Возможный вариант:
acl ibank_ports port 443 9091
http_access allow CONNECT ibank_ports
Причем последняя строчка должна располагаться до строки, в которой вводится запрет на порты выше 1023. В стандартной поставке Squid разрешены порты: 80, 21, 443, 563, 70, 210, 1025-65535. Многие оставляют только 80, 443, поэтому здесь нужно быть внимательным.
3. При запуске апплетов системы iBank пользователю нужно указывать ip адрес и порт (3128 по умолчанию) proxy-сервера Squid.
