Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Трафик в обход squid или правило до авторизации

    Scheduled Pinned Locked Moved Russian
    13 Posts 3 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by werter

      Добрый.
      @flamel
      Может в прозрачном попробовать настроить сквид?

      F 1 Reply Last reply Reply Quote 0
      • F
        flamel @werter
        last edited by

        @werter При включении прозрачного прокси и введении в bypass адресов ничего не меняется, хотя вроде ничего не отваливается и вообще не меняется в общем то в работе, единственное что в логах нет записей о запуске хелперов, но в интернет пускает.

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by werter

          @flamel
          Enable SSL filtering вкл в прозрачном? Может не те адреса в bypass dst вводите?
          Обязательно откл. cache в сквид и очистите кеш на клиенте.

          1 Reply Last reply Reply Quote 0
          • F
            flamel
            last edited by

            @werter
            Пробовал и так и сяк, результат один и тот же, только ошибки вылазят и вообще непонятно как все работать начинает. Помимо включения прозрачного прокси путей нет?
            Потому что проблема по всей видимости именно в авторизации, эта программа ломится под собственной учеткой в интернет.

            1 Reply Last reply Reply Quote 0
            • F
              flamel
              last edited by

              @werter
              доступ.JPG доступ2.JPG

              Самая частая проблема с которой приходится сталкиваться на данный момент, при вводе логина\пароля данные не передаются на сервер и соответственно не пускает.
              Может есть способы решения? Я пока понял что можно только просто пустить в обход прокси некоторые сайты, касперский также любит выпендриваться когда в интернет хочет.

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by werter

                @flamel
                Офиц. форум - https://forums.autodesk.com/t5/podpiska-litsenzirovanie-i/litsenziya-po-podpiske/td-p/8791921
                И тут https://www.galkov.pro/install_squid_on_ubuntu/ Поиск по слову autodesk.

                Найдено в гугле по фразе "autodesk squid kerberos"

                F 1 Reply Last reply Reply Quote 0
                • F
                  flamel @werter
                  last edited by

                  @werter "At no point during ssl_bump processing will dstdomain ACL work."
                  https://wiki.squid-cache.org/Features/SslPeekAndSplice
                  Разве будет работать?
                  Попробовал завести трафик с помощью создания алиаса+правила на фаерволле, пока не понятно, например приблуда NormaCS стала вместо ошибки кеша сквида просто пустой))) может что не так делаю

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by werter

                    @flamel
                    Правила fw на ЛАН покажите.

                    например приблуда NormaCS стала вместо ошибки кеша сквида

                    Я ж вроде уже писал про то, что кеш на сквиде надо откл (

                    F 1 Reply Last reply Reply Quote 0
                    • F
                      flamel @werter
                      last edited by

                      @werter 2619bf6d-82c6-445a-8726-e8abc4126474-image.png
                      bb186aa5-13ab-4e5e-a06d-1b2041f85c34-image.png
                      Этого недостаточно для отключения кеша?

                      1 Reply Last reply Reply Quote 0
                      • F
                        flamel
                        last edited by

                        @werter
                        Попробовал dstdomain использовать, и на удивление заработало на моем пк, смог зайти в эту злополучную программу.

                        auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on

# включаем авторизацию по паролю
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
http_access allow nonauth
http_access deny !auth
http_access allow auth

                        Так сейчас выглядит авторизация.
                        Список nonauth.txt

                        .microsoft.com
.autodesk.com
.normacs.ru
.whatsapp.com
.whatsapp.info
.kaspersky.ru
.primvoda.local
.primvoda.ru
.telegram.org
.telegram.ru
.kaspersky.com
.windowsupdate.com
.symcb.com
.symdb.com
.ws.symantec.com
.geotrust.com
.pki.goog
.verisign.com
.ss2.us
.digicert.com

                        Кеширование выключено, когда иду на сайт normacs.ru в логах есть TCP/200 - т.е не обнаружено в кеше - перекачать. При этом все открывается, но пока только у меня, поставил еще на две машины эту хрень - пока у одной просто пустая страница, у другой якобы интернета нет, возможно фаерволл заворачивает, потому откатил изменения, сделал вот так:
                        0be5eeaf-6d6c-48ea-b14f-ebf6e3741077-image.png
                        сейчас попробую прописать у других машин и у себя ipconfig /flushdns, может поможет, по результатам отпишу.

                        F 1 Reply Last reply Reply Quote 0
                        • F
                          flamel @flamel
                          last edited by

                          @werter
                          Итого:
                          NormaCS не работает, просто не вижу на сквиде чтобы кто то на него ломился к этому сайту.
                          Проверил установку и настройку автокада - чуть ли не плясал от радости, без каких либо ошибок все работает.
                          whatsapp - тоже заработал, только картинки непонятно грузит ли, но это не критично.

                          1 Reply Last reply Reply Quote 0
                          • F
                            Finnish
                            last edited by

                            @flamel said in Трафик в обход squid или правило до авторизации:

                            acl nonauth dstdomain "/etc/squid/nonauth.txt"
                            http_access allow nonauth

                            А у меня вот не заработало, если вставлять в Custom Options (Before Auth) - сквид не стартует.
                            хелпер вот такой работает. А если добавляю 2 строчки, то не стартаует. И по логам непонятно особо почему.

                            ```auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/serv01.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
acl auth proxy_auth REQUIRED
http_access deny !auth
http_access allow auth
                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.