Трафик в обход squid или правило до авторизации
-
@werter При включении прозрачного прокси и введении в bypass адресов ничего не меняется, хотя вроде ничего не отваливается и вообще не меняется в общем то в работе, единственное что в логах нет записей о запуске хелперов, но в интернет пускает.
-
@flamel
Enable SSL filtering вкл в прозрачном? Может не те адреса в bypass dst вводите?
Обязательно откл. cache в сквид и очистите кеш на клиенте. -
@werter
Пробовал и так и сяк, результат один и тот же, только ошибки вылазят и вообще непонятно как все работать начинает. Помимо включения прозрачного прокси путей нет?
Потому что проблема по всей видимости именно в авторизации, эта программа ломится под собственной учеткой в интернет. -
Самая частая проблема с которой приходится сталкиваться на данный момент, при вводе логина\пароля данные не передаются на сервер и соответственно не пускает.
Может есть способы решения? Я пока понял что можно только просто пустить в обход прокси некоторые сайты, касперский также любит выпендриваться когда в интернет хочет. -
@flamel
Офиц. форум - https://forums.autodesk.com/t5/podpiska-litsenzirovanie-i/litsenziya-po-podpiske/td-p/8791921
И тут https://www.galkov.pro/install_squid_on_ubuntu/ Поиск по слову autodesk.Найдено в гугле по фразе "autodesk squid kerberos"
-
@werter "At no point during ssl_bump processing will dstdomain ACL work."
https://wiki.squid-cache.org/Features/SslPeekAndSplice
Разве будет работать?
Попробовал завести трафик с помощью создания алиаса+правила на фаерволле, пока не понятно, например приблуда NormaCS стала вместо ошибки кеша сквида просто пустой))) может что не так делаю -
@flamel
Правила fw на ЛАН покажите.например приблуда NormaCS стала вместо ошибки кеша сквида
Я ж вроде уже писал про то, что кеш на сквиде надо откл (
-
@werter
Этого недостаточно для отключения кеша? -
@werter
Попробовал dstdomain использовать, и на удивление заработало на моем пк, смог зайти в эту злополучную программу.auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none auth_param negotiate children 1000 auth_param negotiate keep_alive on # включаем авторизацию по паролю acl auth proxy_auth REQUIRED acl nonauth dstdomain "/etc/squid/nonauth.txt" http_access allow nonauth http_access deny !auth http_access allow authТак сейчас выглядит авторизация.
Список nonauth.txt.microsoft.com .autodesk.com .normacs.ru .whatsapp.com .whatsapp.info .kaspersky.ru .primvoda.local .primvoda.ru .telegram.org .telegram.ru .kaspersky.com .windowsupdate.com .symcb.com .symdb.com .ws.symantec.com .geotrust.com .pki.goog .verisign.com .ss2.us .digicert.comКеширование выключено, когда иду на сайт normacs.ru в логах есть TCP/200 - т.е не обнаружено в кеше - перекачать. При этом все открывается, но пока только у меня, поставил еще на две машины эту хрень - пока у одной просто пустая страница, у другой якобы интернета нет, возможно фаерволл заворачивает, потому откатил изменения, сделал вот так:
сейчас попробую прописать у других машин и у себя ipconfig /flushdns, может поможет, по результатам отпишу. -
@werter
Итого:
NormaCS не работает, просто не вижу на сквиде чтобы кто то на него ломился к этому сайту.
Проверил установку и настройку автокада - чуть ли не плясал от радости, без каких либо ошибок все работает.
whatsapp - тоже заработал, только картинки непонятно грузит ли, но это не критично. -
@flamel said in Трафик в обход squid или правило до авторизации:
acl nonauth dstdomain "/etc/squid/nonauth.txt"
http_access allow nonauthА у меня вот не заработало, если вставлять в Custom Options (Before Auth) - сквид не стартует.
хелпер вот такой работает. А если добавляю 2 строчки, то не стартаует. И по логам непонятно особо почему.```auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/serv01.keytab -t none auth_param negotiate children 1000 auth_param negotiate keep_alive on acl auth proxy_auth REQUIRED http_access deny !auth http_access allow auth
