Трафик в обход squid или правило до авторизации

flamel

Пытаюсь подружить сквид с такими программами как автокад, нормакс, касперским не под локальной политикой (т.е который в интернет идет), ватсап и телеграм, столкнулся с проблемой что все эти приложения ломятся в сеть не под доменной учеткой пользователя, а как хотят, кто под своей локальной учеткой, кто под учеткой компа. Сквид настроен в непрозрачном режиме с керберос аутентификацией и фильтрацией по группам AD через сквидгвард. Добавление в вайтлисты не меняет ситуации, как и в Unrestricted IPs. Но в принципе это и логично, интернет запросы просто не доходят до этого момента и обрываются на авторизации.
Естественно вопрос, можно ли завернуть трафик приходящий на прописанный прокси (порт 8080) напрямую на необходимые ресурсы, в обход самого сквида?
Либо добавить какое то правило до авторизации, чтобы на определенные ресурсы сквид пускал не просматривая, но на сколько я понял dstdomain не работает, и в случае когда у меня выключен "Enable SSL filtering" как производить подобную настройку?

werter

Добрый.
@flamel
Может в прозрачном попробовать настроить сквид?

flamel

@werter При включении прозрачного прокси и введении в bypass адресов ничего не меняется, хотя вроде ничего не отваливается и вообще не меняется в общем то в работе, единственное что в логах нет записей о запуске хелперов, но в интернет пускает.

werter

@flamel
Enable SSL filtering вкл в прозрачном? Может не те адреса в bypass dst вводите?
Обязательно откл. cache в сквид и очистите кеш на клиенте.

flamel

@werter
Пробовал и так и сяк, результат один и тот же, только ошибки вылазят и вообще непонятно как все работать начинает. Помимо включения прозрачного прокси путей нет?
Потому что проблема по всей видимости именно в авторизации, эта программа ломится под собственной учеткой в интернет.

flamel

@werter

Самая частая проблема с которой приходится сталкиваться на данный момент, при вводе логина\пароля данные не передаются на сервер и соответственно не пускает.
Может есть способы решения? Я пока понял что можно только просто пустить в обход прокси некоторые сайты, касперский также любит выпендриваться когда в интернет хочет.

werter

@flamel
Офиц. форум - https://forums.autodesk.com/t5/podpiska-litsenzirovanie-i/litsenziya-po-podpiske/td-p/8791921
И тут https://www.galkov.pro/install_squid_on_ubuntu/ Поиск по слову autodesk.

Найдено в гугле по фразе "autodesk squid kerberos"

flamel

@werter "At no point during ssl_bump processing will dstdomain ACL work."
https://wiki.squid-cache.org/Features/SslPeekAndSplice
Разве будет работать?
Попробовал завести трафик с помощью создания алиаса+правила на фаерволле, пока не понятно, например приблуда NormaCS стала вместо ошибки кеша сквида просто пустой))) может что не так делаю

werter

@flamel
Правила fw на ЛАН покажите.

например приблуда NormaCS стала вместо ошибки кеша сквида

Я ж вроде уже писал про то, что кеш на сквиде надо откл (

flamel

@werter

Этого недостаточно для отключения кеша?

flamel

@werter
Попробовал dstdomain использовать, и на удивление заработало на моем пк, смог зайти в эту злополучную программу.

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on

# включаем авторизацию по паролю
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
http_access allow nonauth
http_access deny !auth
http_access allow auth

Так сейчас выглядит авторизация.
Список nonauth.txt

.microsoft.com
.autodesk.com
.normacs.ru
.whatsapp.com
.whatsapp.info
.kaspersky.ru
.primvoda.local
.primvoda.ru
.telegram.org
.telegram.ru
.kaspersky.com
.windowsupdate.com
.symcb.com
.symdb.com
.ws.symantec.com
.geotrust.com
.pki.goog
.verisign.com
.ss2.us
.digicert.com

Кеширование выключено, когда иду на сайт normacs.ru в логах есть TCP/200 - т.е не обнаружено в кеше - перекачать. При этом все открывается, но пока только у меня, поставил еще на две машины эту хрень - пока у одной просто пустая страница, у другой якобы интернета нет, возможно фаерволл заворачивает, потому откатил изменения, сделал вот так:

сейчас попробую прописать у других машин и у себя ipconfig /flushdns, может поможет, по результатам отпишу.

flamel

@werter
Итого:
NormaCS не работает, просто не вижу на сквиде чтобы кто то на него ломился к этому сайту.
Проверил установку и настройку автокада - чуть ли не плясал от радости, без каких либо ошибок все работает.
whatsapp - тоже заработал, только картинки непонятно грузит ли, но это не критично.

Finnish

@flamel said in Трафик в обход squid или правило до авторизации:

acl nonauth dstdomain "/etc/squid/nonauth.txt"
http_access allow nonauth

А у меня вот не заработало, если вставлять в Custom Options (Before Auth) - сквид не стартует.
хелпер вот такой работает. А если добавляю 2 строчки, то не стартаует. И по логам непонятно особо почему.

```auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/serv01.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
acl auth proxy_auth REQUIRED
http_access deny !auth
http_access allow auth