Трафик в обход squid или правило до авторизации



  • Пытаюсь подружить сквид с такими программами как автокад, нормакс, касперским не под локальной политикой (т.е который в интернет идет), ватсап и телеграм, столкнулся с проблемой что все эти приложения ломятся в сеть не под доменной учеткой пользователя, а как хотят, кто под своей локальной учеткой, кто под учеткой компа. Сквид настроен в непрозрачном режиме с керберос аутентификацией и фильтрацией по группам AD через сквидгвард. Добавление в вайтлисты не меняет ситуации, как и в Unrestricted IPs. Но в принципе это и логично, интернет запросы просто не доходят до этого момента и обрываются на авторизации.
    Естественно вопрос, можно ли завернуть трафик приходящий на прописанный прокси (порт 8080) напрямую на необходимые ресурсы, в обход самого сквида?
    Либо добавить какое то правило до авторизации, чтобы на определенные ресурсы сквид пускал не просматривая, но на сколько я понял dstdomain не работает, и в случае когда у меня выключен "Enable SSL filtering" как производить подобную настройку?



  • Добрый.
    @flamel
    Может в прозрачном попробовать настроить сквид?



  • @werter При включении прозрачного прокси и введении в bypass адресов ничего не меняется, хотя вроде ничего не отваливается и вообще не меняется в общем то в работе, единственное что в логах нет записей о запуске хелперов, но в интернет пускает.



  • @flamel
    Enable SSL filtering вкл в прозрачном? Может не те адреса в bypass dst вводите?
    Обязательно откл. cache в сквид и очистите кеш на клиенте.



  • @werter
    Пробовал и так и сяк, результат один и тот же, только ошибки вылазят и вообще непонятно как все работать начинает. Помимо включения прозрачного прокси путей нет?
    Потому что проблема по всей видимости именно в авторизации, эта программа ломится под собственной учеткой в интернет.



  • @werter
    доступ.JPG доступ2.JPG

    Самая частая проблема с которой приходится сталкиваться на данный момент, при вводе логина\пароля данные не передаются на сервер и соответственно не пускает.
    Может есть способы решения? Я пока понял что можно только просто пустить в обход прокси некоторые сайты, касперский также любит выпендриваться когда в интернет хочет.



  • @flamel
    Офиц. форум - https://forums.autodesk.com/t5/podpiska-litsenzirovanie-i/litsenziya-po-podpiske/td-p/8791921
    И тут https://www.galkov.pro/install_squid_on_ubuntu/ Поиск по слову autodesk.

    Найдено в гугле по фразе "autodesk squid kerberos"



  • @werter "At no point during ssl_bump processing will dstdomain ACL work."
    https://wiki.squid-cache.org/Features/SslPeekAndSplice
    Разве будет работать?
    Попробовал завести трафик с помощью создания алиаса+правила на фаерволле, пока не понятно, например приблуда NormaCS стала вместо ошибки кеша сквида просто пустой))) может что не так делаю



  • @flamel
    Правила fw на ЛАН покажите.

    например приблуда NormaCS стала вместо ошибки кеша сквида

    Я ж вроде уже писал про то, что кеш на сквиде надо откл (



  • @werter 2619bf6d-82c6-445a-8726-e8abc4126474-image.png
    bb186aa5-13ab-4e5e-a06d-1b2041f85c34-image.png
    Этого недостаточно для отключения кеша?



  • @werter
    Попробовал dstdomain использовать, и на удивление заработало на моем пк, смог зайти в эту злополучную программу.

    auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/squid.keytab -t none
    auth_param negotiate children 1000
    auth_param negotiate keep_alive on
    
    # включаем авторизацию по паролю
    acl auth proxy_auth REQUIRED
    acl nonauth dstdomain "/etc/squid/nonauth.txt"
    http_access allow nonauth
    http_access deny !auth
    http_access allow auth
    

    Так сейчас выглядит авторизация.
    Список nonauth.txt

    .microsoft.com
    .autodesk.com
    .normacs.ru
    .whatsapp.com
    .whatsapp.info
    .kaspersky.ru
    .primvoda.local
    .primvoda.ru
    .telegram.org
    .telegram.ru
    .kaspersky.com
    .windowsupdate.com
    .symcb.com
    .symdb.com
    .ws.symantec.com
    .geotrust.com
    .pki.goog
    .verisign.com
    .ss2.us
    .digicert.com
    

    Кеширование выключено, когда иду на сайт normacs.ru в логах есть TCP/200 - т.е не обнаружено в кеше - перекачать. При этом все открывается, но пока только у меня, поставил еще на две машины эту хрень - пока у одной просто пустая страница, у другой якобы интернета нет, возможно фаерволл заворачивает, потому откатил изменения, сделал вот так:
    0be5eeaf-6d6c-48ea-b14f-ebf6e3741077-image.png
    сейчас попробую прописать у других машин и у себя ipconfig /flushdns, может поможет, по результатам отпишу.



  • @werter
    Итого:
    NormaCS не работает, просто не вижу на сквиде чтобы кто то на него ломился к этому сайту.
    Проверил установку и настройку автокада - чуть ли не плясал от радости, без каких либо ошибок все работает.
    whatsapp - тоже заработал, только картинки непонятно грузит ли, но это не критично.


Log in to reply