Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid, адреса в обход прокси

    Scheduled Pinned Locked Moved Russian
    18 Posts 4 Posters 3.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      Rarog
      last edited by

      pFsense 2.3.5, squid (непрозрачный, авторизация ldap), squidgiard (авторизация ldap), ssl bump не активен. У пользователей pFsense прописан как прокси с портом 3128 и как шлюз.

      1. Как пустить адрес\ip в обход squid? Прописать в настройках IE не предлагать, т.к. есть  устройства не на windows.

      2. Если меняю режим работы на прозрачный прокси, то отваливается авторизация ldap. Авторизацию можно прикрутить?

      1 Reply Last reply Reply Quote 0
      • N
        NegoroX
        last edited by

        перечисляй в сквиде через ; на закладке Bypass Proxy for These Source IPs

        1 Reply Last reply Reply Quote 0
        • R
          Rarog
          last edited by

          @NegoroX:

          перечисляй в сквиде через ; на закладке Bypass Proxy for These Source IPs

          Вы хоть читайте что пишу - непрозрачный, вкладка bypass не активна.

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Как пустить адрес\ip в обход squid? Прописать в настройках IE не предлагать, т.к. есть  устройства не на windows.

            Разрешить на ЛАН 80, 443, 53 порты для определенных ip (source).
            Убрать в настр. браузеров или чего там есть указание прокси. Очистить кеш браузера.

            1 Reply Last reply Reply Quote 0
            • R
              Rarog
              last edited by

              @werter:

              Как пустить адрес\ip в обход squid? Прописать в настройках IE не предлагать, т.к. есть  устройства не на windows.

              Разрешить на ЛАН 80, 443, 53 порты для определенных ip (source).
              Убрать в настр. браузеров или чего там есть указание прокси. Очистить кеш браузера.

              Вы написали: отключить прокси))

              Отключать прокси не нужно. Ответа нет.

              1 Reply Last reply Reply Quote 0
              • M
                MaximKa_Che
                last edited by

                Временно соорудил костыль для проблемной машины -

                acl AuthIP src 192.168.0.3
                http_access allow AuthIP

                поставив это правило перед основным:

                http_access deny !InetAccess

                InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  Доброго.
                  @Rarog:

                  Вы написали: отключить прокси))

                  Перечитайте. Внимательно. Для определенных ip.

                  Если меняю режим работы на прозрачный прокси, то отваливается авторизация ldap. Авторизацию можно прикрутить?

                  Да.

                  1 Reply Last reply Reply Quote 0
                  • R
                    Rarog
                    last edited by

                    @werter:

                    Доброго.
                    @Rarog:

                    Вы написали: отключить прокси))

                    Перечитайте. Внимательно. Для определенных ip.

                    Если меняю режим работы на прозрачный прокси, то отваливается авторизация ldap. Авторизацию можно прикрутить?

                    Да.

                    Не самый удобный способ, когда у тебя много доменных имён (+10000)

                    Каким образом можно вернуть авторизацию?

                    1 Reply Last reply Reply Quote 0
                    • R
                      Rarog
                      last edited by

                      @MaximKa_Che:

                      Временно соорудил костыль для проблемной машины -

                      acl AuthIP src 192.168.0.3
                      http_access allow AuthIP

                      поставив это правило перед основным:

                      http_access deny !InetAccess

                      InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP

                      Машина будет иметь доступ на все сайты?

                      1 Reply Last reply Reply Quote 0
                      • M
                        MaximKa_Che
                        last edited by

                        @Rarog:

                        @MaximKa_Che:

                        Временно соорудил костыль для проблемной машины -

                        acl AuthIP src 192.168.0.3
                        http_access allow AuthIP

                        поставив это правило перед основным:

                        http_access deny !InetAccess

                        InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP

                        Машина будет иметь доступ на все сайты?

                        На ограничения пока не проверял. Меня как раз интересовал обратный процесс: без авторизации по IP не работал cофт без явной поддержки прокси (пресловутый Viber, например).
                        До сих пор не решил еще одну проблему: мой Mac (хак :) )  обрел проблемы с подключением к icloud  - при этом добавление в исключения моей машины ни к чему не приводят. Чистая прозрачная авторизация (Kerio) проблем не создавала.

                        1 Reply Last reply Reply Quote 0
                        • R
                          Rarog
                          last edited by

                          @MaximKa_Che:

                          На ограничения пока не проверял. Меня как раз интересовал обратный процесс: без авторизации по IP не работал cофт без явной поддержки прокси (пресловутый Viber, например).
                          До сих пор не решил еще одну проблему: мой Mac (хак :) )  обрел проблемы с подключением к icloud  - при этом добавление в исключения моей машины ни к чему не приводят. Чистая прозрачная авторизация (Kerio) проблем не создавала.

                          Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by

                            Доброго.
                            @Rarog:

                            Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?

                            В гугле squid + ldap + pfsense 2.3 2.4.

                            P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.

                            1 Reply Last reply Reply Quote 0
                            • M
                              MaximKa_Che
                              last edited by

                              @werter:

                              P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.

                              Хотел картинку вставить, но, похоже, тут нет такой возможности :) - сайт пришлось вручную добавлять в исключения, чтобы открыть:

                              ========
                              При получении URL https://pf2ad.mundounix.com.br/* произошла следующая ошибка

                              Не удалось установить безопасное соединение с 212.237.29.146

                              The system returned:

                              (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)

                              Handshake with SSL server failed: error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol

                              ========

                              1 Reply Last reply Reply Quote 0
                              • werterW
                                werter
                                last edited by

                                Хотел картинку вставить, но, похоже, тут нет такой возможности :)

                                Есть. Это наз-ся Attachments and other options в вашем сообщении.

                                @MaximKa_Che:

                                При получении URL https://pf2ad.mundounix.com.br/* произошла следующая ошибка

                                Не удалось установить безопасное соединение с 212.237.29.146

                                The system returned:

                                (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)

                                Handshake with SSL server failed: error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol

                                ========

                                Проблемы сквида\настроек сквида у вас.  Вот эту фразу (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE) в гугл
                                С сайтом всё ок.

                                P.s. https://forum.pfsense.org/index.php?topic=123223.0

                                https://forum.pfsense.org/index.php?topic=124059.0

                                For similar crappy sites, you need to set SSL Proxy Compatibility Mode to Intermediate so that TLS v1.0 is enabled.

                                Т.е. на сайте установлена совместимость с браузерами, к-ые поддерживают только tls v1.0. Ну не отсекать же таких клиентов, право же  ::)

                                ![2017-11-16 11_10_51-pf2ad.png](/public/imported_attachments/1/2017-11-16 11_10_51-pf2ad.png)
                                ![2017-11-16 11_10_51-pf2ad.png_thumb](/public/imported_attachments/1/2017-11-16 11_10_51-pf2ad.png_thumb)
                                ![2017-11-16 11_14_11.png](/public/imported_attachments/1/2017-11-16 11_14_11.png)
                                ![2017-11-16 11_14_11.png_thumb](/public/imported_attachments/1/2017-11-16 11_14_11.png_thumb)

                                1 Reply Last reply Reply Quote 0
                                • R
                                  Rarog
                                  last edited by

                                  @werter:

                                  Доброго.
                                  @Rarog:

                                  Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?

                                  В гугле squid + ldap + pfsense 2.3 2.4.

                                  P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.

                                  Установил pf2ad. В непрозрачном режиме авторизация squidguard работает без ввода логина пароля, ураа!!! . В прозрачном не работает.

                                  pf2ad устанавливается на чистый pfsense. На рабочем не запускается служба samba.

                                  1 Reply Last reply Reply Quote 0
                                  • M
                                    MaximKa_Che
                                    last edited by

                                    @werter:

                                    Хотел картинку вставить, но, похоже, тут нет такой возможности :)

                                    Есть. Это наз-ся Attachments and other options в вашем сообщении.

                                    Меня все-таки пугает излишняя категоричность Ваших формулировок. В режиме  Quick reply  никаких рюшечек подобного типа нет, а именно в этом режиме я отвечал. Искать спец. кнопку было в тот момент просто некогда.
                                    И снова: "Проблемы сквида\настроек сквида у вас" (С) werter. Почему недонастроенный Squid считается проблемным? ;) Тем не менее, спасибо, это действительно гораздо удобнее, нежели прописывать каждый такой сайт в исключения.

                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by

                                      Ув. Максимка. Покажите кнопку Quick reply на этом форуме. Спасибо.

                                      У меня это выглядит так:

                                      ![2017-11-16 18_11_24.png](/public/imported_attachments/1/2017-11-16 18_11_24.png)
                                      ![2017-11-16 18_11_24.png_thumb](/public/imported_attachments/1/2017-11-16 18_11_24.png_thumb)
                                      ![2017-11-16 18_12_13.png](/public/imported_attachments/1/2017-11-16 18_12_13.png)
                                      ![2017-11-16 18_12_13.png_thumb](/public/imported_attachments/1/2017-11-16 18_12_13.png_thumb)

                                      1 Reply Last reply Reply Quote 0
                                      • M
                                        MaximKa_Che
                                        last edited by

                                        Та не вопрос… Унизу однако.

                                        ![Снимок экрана 2017-11-16 в 22.19.14.png](/public/imported_attachments/1/Снимок экрана 2017-11-16 в 22.19.14.png)
                                        ![Снимок экрана 2017-11-16 в 22.19.14.png_thumb](/public/imported_attachments/1/Снимок экрана 2017-11-16 в 22.19.14.png_thumb)

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post
                                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.