Squid, адреса в обход прокси

MaximKa_Che

Временно соорудил костыль для проблемной машины -

acl AuthIP src 192.168.0.3
http_access allow AuthIP

поставив это правило перед основным:

http_access deny !InetAccess

InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP

werter

Доброго.
@Rarog:

Вы написали: отключить прокси))

Перечитайте. Внимательно. Для определенных ip.

Если меняю режим работы на прозрачный прокси, то отваливается авторизация ldap. Авторизацию можно прикрутить?

Да.

Rarog

@werter:

Доброго.
@Rarog:

Вы написали: отключить прокси))

Перечитайте. Внимательно. Для определенных ip.

Если меняю режим работы на прозрачный прокси, то отваливается авторизация ldap. Авторизацию можно прикрутить?

Да.

Не самый удобный способ, когда у тебя много доменных имён (+10000)

Каким образом можно вернуть авторизацию?

Rarog

@MaximKa_Che:

Временно соорудил костыль для проблемной машины -

acl AuthIP src 192.168.0.3
http_access allow AuthIP

поставив это правило перед основным:

http_access deny !InetAccess

InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP

Машина будет иметь доступ на все сайты?

MaximKa_Che

@Rarog:

@MaximKa_Che:

Временно соорудил костыль для проблемной машины -

acl AuthIP src 192.168.0.3
http_access allow AuthIP

поставив это правило перед основным:

http_access deny !InetAccess

InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP

Машина будет иметь доступ на все сайты?

На ограничения пока не проверял. Меня как раз интересовал обратный процесс: без авторизации по IP не работал cофт без явной поддержки прокси (пресловутый Viber, например).
До сих пор не решил еще одну проблему: мой Mac (хак :) )  обрел проблемы с подключением к icloud  - при этом добавление в исключения моей машины ни к чему не приводят. Чистая прозрачная авторизация (Kerio) проблем не создавала.

Rarog

@MaximKa_Che:

На ограничения пока не проверял. Меня как раз интересовал обратный процесс: без авторизации по IP не работал cофт без явной поддержки прокси (пресловутый Viber, например).
До сих пор не решил еще одну проблему: мой Mac (хак :) )  обрел проблемы с подключением к icloud  - при этом добавление в исключения моей машины ни к чему не приводят. Чистая прозрачная авторизация (Kerio) проблем не создавала.

Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?

werter

Доброго.
@Rarog:

Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?

В гугле squid + ldap + pfsense 2.3 2.4.

P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.

MaximKa_Che

@werter:

P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.

Хотел картинку вставить, но, похоже, тут нет такой возможности :) - сайт пришлось вручную добавлять в исключения, чтобы открыть:

========
При получении URL https://pf2ad.mundounix.com.br/* произошла следующая ошибка

Не удалось установить безопасное соединение с 212.237.29.146

The system returned:

(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)

Handshake with SSL server failed: error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol

========

werter

Хотел картинку вставить, но, похоже, тут нет такой возможности :)

Есть. Это наз-ся Attachments and other options в вашем сообщении.

@MaximKa_Che:

При получении URL https://pf2ad.mundounix.com.br/* произошла следующая ошибка

Не удалось установить безопасное соединение с 212.237.29.146

The system returned:

(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)

Handshake with SSL server failed: error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol

========

Проблемы сквида\настроек сквида у вас.  Вот эту фразу (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE) в гугл
С сайтом всё ок.

P.s. https://forum.pfsense.org/index.php?topic=123223.0

https://forum.pfsense.org/index.php?topic=124059.0

For similar crappy sites, you need to set SSL Proxy Compatibility Mode to Intermediate so that TLS v1.0 is enabled.

Т.е. на сайте установлена совместимость с браузерами, к-ые поддерживают только tls v1.0. Ну не отсекать же таких клиентов, право же  ::)


Rarog

@werter:

Доброго.
@Rarog:

Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?

В гугле squid + ldap + pfsense 2.3 2.4.

P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.

Установил pf2ad. В непрозрачном режиме авторизация squidguard работает без ввода логина пароля, ураа!!! . В прозрачном не работает.

pf2ad устанавливается на чистый pfsense. На рабочем не запускается служба samba.

MaximKa_Che

@werter:

Хотел картинку вставить, но, похоже, тут нет такой возможности :)

Есть. Это наз-ся Attachments and other options в вашем сообщении.

Меня все-таки пугает излишняя категоричность Ваших формулировок. В режиме  Quick reply  никаких рюшечек подобного типа нет, а именно в этом режиме я отвечал. Искать спец. кнопку было в тот момент просто некогда.
И снова: "Проблемы сквида\настроек сквида у вас" (С) werter. Почему недонастроенный Squid считается проблемным? ;) Тем не менее, спасибо, это действительно гораздо удобнее, нежели прописывать каждый такой сайт в исключения.

werter

Ув. Максимка. Покажите кнопку Quick reply на этом форуме. Спасибо.

У меня это выглядит так:


MaximKa_Che

Та не вопрос… Унизу однако.