форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение		[ Отслеживать ]

"Открытие портов"	+/–
Сообщение от TePPoPucT (ok) on 22-Май-15, 08:47
Приветствую всех! Возник небольшой вопрос и не могу понять в какую же мне сторону копать, подскажите. Есть FreeBSD линейки 10.x Generic с настроенным SQUID 3.5.3, аутентификация kerberos. Нужно открыть порты для клиент-банка, не совсем понимаю как это правильно сделать и куда смотреть. Из гугла понял, что в сквиде можно добавить Safe_ports, сделал - не работает, также понял, что ipfw по умолчанию не включен/насроен/работает т.к. при выводе # ipfw list получаю ipfw: getsockopt(IP_FW_GET): Protocol not available Конфигурация на фре - умолчальная, никаких фаерволлов не настраивал. Хочу понять, чтобы открыть порты на внешку, что мне нужно настраивать? вот вывод netstat # netstat -na | grep LIST tcp4       0      0 127.0.0.1.3128         *.*                    LISTEN tcp4       0      0 10.68.12.1.3128        *.*                    LISTEN tcp4       0      0 127.0.0.1.25           *.*                    LISTEN tcp4       0      0 *.80                   *.*                    LISTEN tcp4       0      0 *.22                   *.*                    LISTEN tcp6       0      0 *.22                   *.*                    LISTEN Заранее благодарю за помощь.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по ответам | RSS]

	1. "Открытие портов"	+/–
	Сообщение от Square (ok) on 24-Май-15, 14:45
	Если у вас ipfw не включен,и нет иного файрвола, то ничего "открывать" не нужно. и так все открыто. далее... если у вас сквид используется как обычный прокси, и нет никакого софта вроде проксизаторов заворачивающих пакетики на прокси "прозрачно"- то в клиент-банке наверное нужно его прописать. иначе как клиент банк узнает что надо посылать через прокси пакетики? Ну а вообще из описания непонятно, какого рода шлюз у вас настроен. оба адреса которые вы показали- серые. значит ли это что вы умышленно заменили их а на одном из адресов там реальный, или же это значит что ваш шлюз - на самом деле один из шлюзов в цепочек прокси, и проблема может быть гдето на вышестоящем прокси... короче каша у вас в голове :)
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Открытие портов"	+/–
	Сообщение от ipmanyak (ok) on 25-Май-15, 08:34
	Учись формулировать вопрос. Понаписал много, а как называется банк-клиент, по какому порту работает программа или  если, это web доступ, то какая сссылка на сайт - ничего не сказал. У сбербанка есть Система Сбербанк Бизнес ОнЛайн - ссылка в интернете  https://sbi.sberbank.ru:9443/ic/ если о ней идет речь, то в сквиде разреши этот порт в  SSL_ports типа: acl SSL_ports         port 443    # ssl acl SSL_ports         port 9091    # BKS-bank acl SSL_ports         port 9443    # sberbank acl Safe_ports         port 80        # http acl Safe_ports         port 21     # ftp acl Safe_ports         port 443     # https возможно еще нужно поиграться с тэгом forwarded_for  для заголовка HTTP requests X-Forwarded-For поставить delete forwarded_for  delete
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Открытие портов"	+/–
	Сообщение от TePPoPucT (ok) on 26-Май-15, 08:39
	>[оверквотинг удален] >    # sberbank > acl Safe_ports         port 80 >        # http > acl Safe_ports         port 21 >     # ftp > acl Safe_ports         port 443 >     # https > возможно еще нужно поиграться с тэгом forwarded_for  для заголовка HTTP requests > X-Forwarded-For поставить delete > forwarded_for  delete Начну с начала. Система  PSB-Online, использует порты  80, 9080, 9443. Ссылка на саму систему http://online.payment.ru/index0.html?enter2 По ссылке - вход в систему, для входа используется Java, во время входа Java предлагает указать настройки прокси. У меня в конфиге вот так, но пользователь все равно не может подключиться к системе. acl Safe_ports port 80          # http acl Safe_ports port 9080        # http acl SSL_ports port 9443         # SSL Если я добавлю forwarded_for  delete в конфиг, это поможет? Честно, только начинаю разбираться во всем этом и где-то пробелы, а где-то знаю достаточно. Для примера - как поднять сквид с аутентификацией kerberos по группам в AD, я уже разобрался, но вот настройка фаерволлов, форвардинг и прочие радости для меня пока темный лес. Upd: Быть может мне нужно, для начала, как-то завернуть эти порты на сквид? Только я не совсем понимаю через что это делать, посоветуешь? Если я правильно понял - это ipfw или нет?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Открытие портов"	+/–
	Сообщение от TePPoPucT (ok) on 26-Май-15, 08:51
	>[оверквотинг удален] > софта вроде проксизаторов заворачивающих пакетики на прокси "прозрачно"- то в клиент-банке > наверное нужно его прописать. иначе как клиент банк узнает что надо > посылать через прокси пакетики? > Ну а вообще из описания непонятно, какого рода шлюз у вас настроен. > оба адреса которые вы показали- серые. значит ли это что вы > умышленно заменили их а на одном из адресов там реальный, или > же это значит что ваш шлюз - на самом деле один > из шлюзов в цепочек прокси, и проблема может быть гдето на > вышестоящем прокси... > короче каша у вас в голове :) В том-то и дело, что я пока не совсем разбираюсь во многих вещах. Банально - не знаю есть-ли в конфигурации FreeBSD фаерволл по умолчанию. Адрес прокси клиент-банку указываем, бесполезно. Если брать всю систему: Есть Cisco ASA в которую заходит интернет-канал, из ASA выходит VLAN который используется прокси-сервером для выхода в интернет, на прокси есть вторая сетевая карта с IP внутренней сети к которому обращаются клиентские ПК. Адреса реальные 10.68.12.1 Это внутрений адрес на котором слушает сквид.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Открытие портов"	+/–
	Сообщение от ipmanyak (ok) on 26-Май-15, 15:50
	>>[оверквотинг удален] > Upd: Быть может мне нужно, для начала, как-то завернуть эти порты на > сквид? Только я не совсем понимаю через что это делать, посоветуешь? > Если я правильно понял - это ipfw или нет? Это ты сам для себя решай. Если хочешь чтобы сквил был прозрачным (не прописывать прокси на станциях в браузере), тогда  правилами ipfw заворачивай трафик и в сквиде сделай соответствующую настройку. Мануалов полно. Но имей ввиду, про большую часть типов аутентификации в сквиде можешь забыть. Про доменную с kerberos не могу сказать.   При прозрачном проксировании ПО клиента считает, что обращается напрямую к серверу и никогда не посылает заголовок Proxy-authorization. Инет в целом у буха работает? Если не работает только сайт этого банка, то что сообщает? Что в логах сквида пишет? Сайт этого банка требует -  На текущий момент минимально допустимой версией Java для корректной работы системы PSB On-Line является Java 7 update 75. Рекомендуемая для использования - Java 8 версии не ниже 1.8.0_31. Это соблюдено? Прочти это http://online.payment.ru/index0.html?support и это http://online.payment.ru/index0.html?connect_04
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Открытие портов"	+/–
	Сообщение от TePPoPucT (ok) on 27-Май-15, 08:32
	>[оверквотинг удален] > При прозрачном проксировании ПО клиента считает, что обращается напрямую к серверу и > никогда не посылает заголовок Proxy-authorization. > Инет в целом у буха работает? Если не работает только сайт этого > банка, то что сообщает? Что в логах сквида пишет? > Сайт этого банка требует -  На текущий момент минимально допустимой версией > Java для корректной работы системы PSB On-Line является Java 7 update > 75. Рекомендуемая для использования - Java 8 версии не ниже 1.8.0_31. > Это соблюдено? > Прочти это http://online.payment.ru/index0.html?support > и это http://online.payment.ru/index0.html?connect_04 Мне-то как раз прозрачная прокси не нужна, я правильно понимаю, что если заворачивать порты - прозрачность обязательна? В целом, инет у буха работает. Сайт банка работает. Не работает подключение через java приложение на сайте. При входе в систему - открывается плагин для авторизации, там подключается токен, указываются настройки прокси и данные для авторизации. При попытке авторизации системе - выдается ошибка подключения. В сети у меня есть прозрачная прокся на 3proxy, через нее юзер подключается нормально, но эту проксю скоро вырубят. Машина юзера настроена в соответсвии с требованиями и java правильная. При попытке подключения через squid, в логах вот такая ошибка TCP_DENIED/407 4508 GET http://online.payment.ru/i/orange-back.gif - HIER_NONE/- text/html TCP_DENIED/407 4512 GET http://online.payment.ru/i/palebig-back.gif - HIER_NONE/- text/html TCP_DENIED/407 4520 GET http://online.payment.ru/i/palebig-bottom.gif - HIER_NONE/- text/html Потом TCP_MISS/200 но уже не 4508,4512,4520, а другие значения. При этом в cache.log все чисто. Пользователь нормально аутентифицируется.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Открытие портов"	+/–
	Сообщение от TePPoPucT (ok) on 27-Май-15, 12:14
	>[оверквотинг удален] > При прозрачном проксировании ПО клиента считает, что обращается напрямую к серверу и > никогда не посылает заголовок Proxy-authorization. > Инет в целом у буха работает? Если не работает только сайт этого > банка, то что сообщает? Что в логах сквида пишет? > Сайт этого банка требует -  На текущий момент минимально допустимой версией > Java для корректной работы системы PSB On-Line является Java 7 update > 75. Рекомендуемая для использования - Java 8 версии не ниже 1.8.0_31. > Это соблюдено? > Прочти это http://online.payment.ru/index0.html?support > и это http://online.payment.ru/index0.html?connect_04 Как вариант, сервера не поддерживают нормально авторизацию пользователя на проксе, быть может пропустить пользователя без авторизации? Можно-ли это как-то сделать не настраивая прозрачность и оставив kerberos аутентификацию? Имею ввиду - сказать сквиду, чтобы он пропускал такой-то хост без авторизации. Как вариант сделать так acl host src 10.6.1.5 http_access allow host но это все равно же аутентификация, просто по IP?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Открытие портов"	+/–
	Сообщение от ipmanyak (ok) on 28-Май-15, 11:41
	>[оверквотинг удален] >> Прочти это http://online.payment.ru/index0.html?support >> и это http://online.payment.ru/index0.html?connect_04 > Как вариант, сервера не поддерживают нормально авторизацию пользователя на проксе, быть > может пропустить пользователя без авторизации? Можно-ли это как-то сделать не настраивая > прозрачность и оставив kerberos аутентификацию? Имею ввиду - сказать сквиду, чтобы > он пропускал такой-то хост без авторизации. > Как вариант сделать так > acl host src 10.6.1.5 > http_access allow host > но это все равно же аутентификация, просто по IP? Да, можно пускать без авторизации, поставив правила выше запроса авторизации. Авторизация подразумевает окно с вводом логина и пароля, по IP это не авторизация. По поводу сбербанка http://www.opennet.ru/openforum/vsluhforumID12/7183.html
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Открытие портов"	+/–
	Сообщение от TePPoPucT (ok) on 29-Май-15, 12:25
	>[оверквотинг удален] >> он пропускал такой-то хост без авторизации. >> Как вариант сделать так >> acl host src 10.6.1.5 >> http_access allow host >> но это все равно же аутентификация, просто по IP? > Да, можно пускать без авторизации, поставив правила выше запроса авторизации. > Авторизация подразумевает окно с вводом логина и пароля, по IP это не > авторизация. > По поводу сбербанка > http://www.opennet.ru/openforum/vsluhforumID12/7183.html Круто, спасибо! Сравнил то что у меня и в примере. Пытаюсь понять, почему у меня не работает. Помоги устранить некоторые пробелы в знаниях, в самом низу я напротив строчек написал вопросы. Вот мой кусок, который я делал в конфиге acl Safe_ports port 80          # http acl Safe_ports port 9080        # PSB-bank acl Safe_ports port 9443        # PSB-bank acl SSL_ports port  443 9443    # SSL acl bank dst online.payment.ru http_port 80 http_port 9080 http_port 9443 http_access allow bank http_access allow !Safe_ports А вот то, что отвечает за коннект в ссылке про сбербанк acl SSL_ports         port 443     # ssl acl SSL_ports         port 9091    # BKS-bank acl SSL_ports         port 9443    # sberbank acl Safe_ports        port 80      # http acl Safe_ports        port 21      # ftp acl Safe_ports        port 443     # https acl Safe_ports        port 70      # gopher acl CONNECT           method       CONNECT acl sber              dstdomain    .sberbank.ru http_access    deny    !Safe_ports http_access    deny    CONNECT !SSL_ports http_access    allow    sber all forwarded_for  delete Я так понимаю, что в моем случае это должно иметь вид acl SSL_ports      port 443     # ssl acl SSL_ports      port 9080    # мой банк acl SSL_ports      port 9443    # мой банк acl Safe_ports     port 80      # http и мой банк acl Safe_ports     port 21      # ftp acl Safe_ports     port 443     # https acl Safe_ports     port 70      # gopher acl CONNECT        method    CONNECT #Предполагаю, что именно ее мне не хватает, #это так? acl sber           dstdomain    online.payment.ru #здесь должно быть online.payment.ru #или .payment.ru с учетом того, что сайт на который ломится ПО - online.payment.ru? http_access    deny    !Safe_ports #я правильно понимаю, что здесь доступ запрещен всем, #кроме Safe_ports??? http_access    deny    CONNECT !SSL_ports #а здесь, кроме SSL_ports??? http_access    allow    sber all forwarded_for  delete Также, хочу понять имеет-ли значение расположение этих параметров в конфиге? В самом конце или в самом низу. Заранее благодарю!
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема