Форум программистов, компьютерный форум, киберфорум
Наши страницы
RedHat, Fedora, CentOS, ASP Linux
Войти
Регистрация
Восстановить пароль
 
Рейтинг 5.00/5: Рейтинг темы: голосов - 5, средняя оценка - 5.00
BatovE
0 / 0 / 1
Регистрация: 26.01.2016
Сообщений: 10
1

Squid ssl-bump + ntlm + sams2

09.09.2018, 22:35. Просмотров 972. Ответов 1
Метки нет (Все метки)

Исходные данные:
CentOS 7
Squid Cache: Version 4.1
Service Name: squid
This binary uses OpenSSL 1.0.2k-fips 26 Jan 2017.
Sams2

Задача в целом:
1. понимать https трафик
2. управлять доступами пользователей
3. лимитировать доступы
4. читать логи

Выполнение:
1. https трафик squid отлично понимает за счет ssl-bump, пишет в acces.log ну и sams его читает. Т.е. задача на 100% решена.
2. Не все так однозначно, запись в squid происходит не внешними acl, а перечислением непосредственно в conf. Плюс ко всему этому, acl denyd прописываются через раз... не понял пока зависимости. Задача на 30%
3. Задача на 0%. Sams2 имеет свой редирект, и если его включить он на ssl-bump отправляет запросы какие то совсем дикие. Т.е. прокся тупо не работает.
4. Задача на 100%.

И вот вопрос....
Как подружить редирект Sams2 со Squid4 ssl-bump + ntlm ??? Если у кого уже работает, киньте squid.conf
0
Лучшие ответы (1)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
09.09.2018, 22:35
Ответы с готовыми решениями:

Proxy сервер на CentOS 7 + Sams 2 + NTLM через AD
Доброго времени суток. Есть вопрос, может сталкивались. Поднял на виртуалке прокси сервер ...

Centos + SQUID
Здравствуйте. Заранее прошу простить, если вопросы глупые, но задать их всё-таки необходимо. В...

Не стартует squid
Доброго времени суток. Поставил на CentOS 7 x64 squid. Ставил через yum. Если делаем systemctl...

Ограничения в Squid'е
Что ж, создал новую тему. Есть несколько небольших вопросов. Для начала: этот сайт стоит в списке...

SQUID прокси
Добрый день , подскажите пожалуйста как точно определить или же где установить параметр в SQUID под...

1
BatovE
0 / 0 / 1
Регистрация: 26.01.2016
Сообщений: 10
10.09.2018, 20:42  [ТС] 2
Лучший ответ Сообщение было отмечено Marinero как решение

Решение

И так, вести с полей:
1. 100%
2. 100% зависимость от значений настройки sams \ какой редирект использовать. Если установить значение - не использовать редирект, то TAG https_access deny USER нормально прописывается. Это хорошо. Итого, задача выполнена.
3. *
4. 100%

* - и так, основная проблема в редиректах. Так как самс2 не может со squid 4… решено реализовать редирект непосредственно через acl - http_access.

Что имеем - Sams автоматом по достижение порога лимита записывает в squid :
acl userblock auth_proxy user
http_acces deny userblock

Казалось бы, пользователь заблокирован и все хорошо. Но не до конца хорошо - данному пользователю всплывает окно авторизации на сервере. Что есть не гуд - так как пользователь не понимает, что происходит - кончился трафик, кончалась прокся или пользователь отвалился из АД.

Есть замечательная директива TAG deny_info, да вот только не могу победить ее.
Эту директиву используют для редиректа с "плохого" сайта на "хороший", а мне надо просто userblock отправить на "локальную" страницу, где будет написана причина блокировки.

Как вижу я, но не работает в squid:
acl blockuser auth_proxy user
http_acces deny blockuser
deny_info http://local.host blockuser

не робит такая запись... Помогите! Уже что то совсем мысли кончались....

Добавлено через 7 часов 22 минуты
всем спасибо за помощь!

Для жаждущих (пишу по памяти, синтаксис может отличаться +-)
где то у вас в acl уже есть пользователь в блок - пусть это будет: acl block proxy_auth ваш бедный юзер
создаем acl нашей прокси, куда наши пользователи долбятся:
acl proxy dst ваш айпи прокси (192,168,1,1)
теперь пишим http_access :
http_access allow proxy !block
deny_info тут куда вы его посылаете proxy


возможно, нужно подработать.... по принципу, через что обыграть deny или allow.... но я рад и пошел спать!!!!

Удачи!
0
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
10.09.2018, 20:42

Squid -установка
Возникла проблема с установкой SQUID . 1 Скачал сам SQUID 3.1.1 2 создал каталог в разделе...

Не стартует SQUID на Debian 7
Добрый день! Подскажите: поставили задачу перенести прокси на другое железо, сделал бэкап рабочей...

Squid 3.3.8: настроить ext_ldap_group_acl
Люди помогите настроить хелпер сквида ext_ldap_group_acl запускаю в сквиде в таком виде ...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
2
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru