Squid, адреса в обход прокси
-
pFsense 2.3.5, squid (непрозрачный, авторизация ldap), squidgiard (авторизация ldap), ssl bump не активен. У пользователей pFsense прописан как прокси с портом 3128 и как шлюз.
1. Как пустить адрес\ip в обход squid? Прописать в настройках IE не предлагать, т.к. есть устройства не на windows.
2. Если меняю режим работы на прозрачный прокси, то отваливается авторизация ldap. Авторизацию можно прикрутить?
-
перечисляй в сквиде через ; на закладке Bypass Proxy for These Source IPs
-
перечисляй в сквиде через ; на закладке Bypass Proxy for These Source IPs
Вы хоть читайте что пишу - непрозрачный, вкладка bypass не активна.
-
Как пустить адрес\ip в обход squid? Прописать в настройках IE не предлагать, т.к. есть устройства не на windows.
Разрешить на ЛАН 80, 443, 53 порты для определенных ip (source).
Убрать в настр. браузеров или чего там есть указание прокси. Очистить кеш браузера. -
Как пустить адрес\ip в обход squid? Прописать в настройках IE не предлагать, т.к. есть устройства не на windows.
Разрешить на ЛАН 80, 443, 53 порты для определенных ip (source).
Убрать в настр. браузеров или чего там есть указание прокси. Очистить кеш браузера.Вы написали: отключить прокси))
Отключать прокси не нужно. Ответа нет.
-
Временно соорудил костыль для проблемной машины -
acl AuthIP src 192.168.0.3
http_access allow AuthIPпоставив это правило перед основным:
http_access deny !InetAccess
InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP
-
Доброго.
@Rarog:Вы написали: отключить прокси))
Перечитайте. Внимательно. Для определенных ip.
Если меняю режим работы на прозрачный прокси, то отваливается авторизация ldap. Авторизацию можно прикрутить?
Да.
-
Доброго.
@Rarog:Вы написали: отключить прокси))
Перечитайте. Внимательно. Для определенных ip.
Если меняю режим работы на прозрачный прокси, то отваливается авторизация ldap. Авторизацию можно прикрутить?
Да.
Не самый удобный способ, когда у тебя много доменных имён (+10000)
Каким образом можно вернуть авторизацию?
-
Временно соорудил костыль для проблемной машины -
acl AuthIP src 192.168.0.3
http_access allow AuthIPпоставив это правило перед основным:
http_access deny !InetAccess
InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP
Машина будет иметь доступ на все сайты?
-
Временно соорудил костыль для проблемной машины -
acl AuthIP src 192.168.0.3
http_access allow AuthIPпоставив это правило перед основным:
http_access deny !InetAccess
InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP
Машина будет иметь доступ на все сайты?
На ограничения пока не проверял. Меня как раз интересовал обратный процесс: без авторизации по IP не работал cофт без явной поддержки прокси (пресловутый Viber, например).
До сих пор не решил еще одну проблему: мой Mac (хак :) ) обрел проблемы с подключением к icloud - при этом добавление в исключения моей машины ни к чему не приводят. Чистая прозрачная авторизация (Kerio) проблем не создавала. -
На ограничения пока не проверял. Меня как раз интересовал обратный процесс: без авторизации по IP не работал cофт без явной поддержки прокси (пресловутый Viber, например).
До сих пор не решил еще одну проблему: мой Mac (хак :) ) обрел проблемы с подключением к icloud - при этом добавление в исключения моей машины ни к чему не приводят. Чистая прозрачная авторизация (Kerio) проблем не создавала.Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?
-
Доброго.
@Rarog:Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?
В гугле squid + ldap + pfsense 2.3 2.4.
P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.
-
P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.
Хотел картинку вставить, но, похоже, тут нет такой возможности :) - сайт пришлось вручную добавлять в исключения, чтобы открыть:
========
При получении URL https://pf2ad.mundounix.com.br/* произошла следующая ошибкаНе удалось установить безопасное соединение с 212.237.29.146
The system returned:
(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol
========
-
Хотел картинку вставить, но, похоже, тут нет такой возможности :)
Есть. Это наз-ся Attachments and other options в вашем сообщении.
При получении URL https://pf2ad.mundounix.com.br/* произошла следующая ошибка
Не удалось установить безопасное соединение с 212.237.29.146
The system returned:
(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol
========
Проблемы сквида\настроек сквида у вас. Вот эту фразу (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE) в гугл
С сайтом всё ок.P.s. https://forum.pfsense.org/index.php?topic=123223.0
https://forum.pfsense.org/index.php?topic=124059.0
For similar crappy sites, you need to set SSL Proxy Compatibility Mode to Intermediate so that TLS v1.0 is enabled.
Т.е. на сайте установлена совместимость с браузерами, к-ые поддерживают только tls v1.0. Ну не отсекать же таких клиентов, право же ::)



 -
Доброго.
@Rarog:Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?
В гугле squid + ldap + pfsense 2.3 2.4.
P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.
Установил pf2ad. В непрозрачном режиме авторизация squidguard работает без ввода логина пароля, ураа!!! . В прозрачном не работает.
pf2ad устанавливается на чистый pfsense. На рабочем не запускается служба samba.
-
Хотел картинку вставить, но, похоже, тут нет такой возможности :)
Есть. Это наз-ся Attachments and other options в вашем сообщении.
Меня все-таки пугает излишняя категоричность Ваших формулировок. В режиме Quick reply никаких рюшечек подобного типа нет, а именно в этом режиме я отвечал. Искать спец. кнопку было в тот момент просто некогда.
И снова: "Проблемы сквида\настроек сквида у вас" (С) werter. Почему недонастроенный Squid считается проблемным? ;) Тем не менее, спасибо, это действительно гораздо удобнее, нежели прописывать каждый такой сайт в исключения. -
Ув. Максимка. Покажите кнопку Quick reply на этом форуме. Спасибо.
У меня это выглядит так:



 -
Та не вопрос… Унизу однако.

