Трафик в обход squid или правило до авторизации

werter

@flamel
Enable SSL filtering вкл в прозрачном? Может не те адреса в bypass dst вводите?
Обязательно откл. cache в сквид и очистите кеш на клиенте.

flamel

@werter
Пробовал и так и сяк, результат один и тот же, только ошибки вылазят и вообще непонятно как все работать начинает. Помимо включения прозрачного прокси путей нет?
Потому что проблема по всей видимости именно в авторизации, эта программа ломится под собственной учеткой в интернет.

flamel

@werter

Самая частая проблема с которой приходится сталкиваться на данный момент, при вводе логина\пароля данные не передаются на сервер и соответственно не пускает.
Может есть способы решения? Я пока понял что можно только просто пустить в обход прокси некоторые сайты, касперский также любит выпендриваться когда в интернет хочет.

werter

@flamel
Офиц. форум - https://forums.autodesk.com/t5/podpiska-litsenzirovanie-i/litsenziya-po-podpiske/td-p/8791921
И тут https://www.galkov.pro/install_squid_on_ubuntu/ Поиск по слову autodesk.

Найдено в гугле по фразе "autodesk squid kerberos"

flamel

@werter "At no point during ssl_bump processing will dstdomain ACL work."
https://wiki.squid-cache.org/Features/SslPeekAndSplice
Разве будет работать?
Попробовал завести трафик с помощью создания алиаса+правила на фаерволле, пока не понятно, например приблуда NormaCS стала вместо ошибки кеша сквида просто пустой))) может что не так делаю

werter

@flamel
Правила fw на ЛАН покажите.

например приблуда NormaCS стала вместо ошибки кеша сквида

Я ж вроде уже писал про то, что кеш на сквиде надо откл (

flamel

@werter

Этого недостаточно для отключения кеша?

flamel

@werter
Попробовал dstdomain использовать, и на удивление заработало на моем пк, смог зайти в эту злополучную программу.

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on

# включаем авторизацию по паролю
acl auth proxy_auth REQUIRED
acl nonauth dstdomain "/etc/squid/nonauth.txt"
http_access allow nonauth
http_access deny !auth
http_access allow auth

Так сейчас выглядит авторизация.
Список nonauth.txt

.microsoft.com
.autodesk.com
.normacs.ru
.whatsapp.com
.whatsapp.info
.kaspersky.ru
.primvoda.local
.primvoda.ru
.telegram.org
.telegram.ru
.kaspersky.com
.windowsupdate.com
.symcb.com
.symdb.com
.ws.symantec.com
.geotrust.com
.pki.goog
.verisign.com
.ss2.us
.digicert.com

Кеширование выключено, когда иду на сайт normacs.ru в логах есть TCP/200 - т.е не обнаружено в кеше - перекачать. При этом все открывается, но пока только у меня, поставил еще на две машины эту хрень - пока у одной просто пустая страница, у другой якобы интернета нет, возможно фаерволл заворачивает, потому откатил изменения, сделал вот так:

сейчас попробую прописать у других машин и у себя ipconfig /flushdns, может поможет, по результатам отпишу.

flamel

@werter
Итого:
NormaCS не работает, просто не вижу на сквиде чтобы кто то на него ломился к этому сайту.
Проверил установку и настройку автокада - чуть ли не плясал от радости, без каких либо ошибок все работает.
whatsapp - тоже заработал, только картинки непонятно грузит ли, но это не критично.

Finnish

@flamel said in Трафик в обход squid или правило до авторизации:

acl nonauth dstdomain "/etc/squid/nonauth.txt"
http_access allow nonauth

А у меня вот не заработало, если вставлять в Custom Options (Before Auth) - сквид не стартует.
хелпер вот такой работает. А если добавляю 2 строчки, то не стартаует. И по логам непонятно особо почему.

```auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/serv01.keytab -t none
auth_param negotiate children 1000
auth_param negotiate keep_alive on
acl auth proxy_auth REQUIRED
http_access deny !auth
http_access allow auth