Sziasztok!
A felhasználó gépeken van egy program ami ha a proxy-n keresztül megy akkor nem tud csatlakozni az accunt-szerverre.
Megoldaható lenne-e, hogy a proxy (squid3)szerveren álítsam be ezt kivételnek. (kliens gépeken való beállítása nem járható út)
Válaszokat köszönöm!
nem működik ezzel:
acl local-servers dstdomain my.domain.net
always_direct allow local-servers
squid.conf
http_port 3128 transparent
icap_enable on
icap_send_client_ip on
icap_send_client_username on
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024
icap_service service_req reqmod_precache bypass=YY icap://127.0.0.1:1344/squidclamav
adaptation_access service_req allow all
icap_service service_resp respmod_precache bypass=YY icap://127.0.0.1:1344/squidclamav
adaptation_access service_resp allow all
cache_mem 2000 MB
maximum_object_size 32 MB
minimum_object_size 4 MB
cache_dir aufs /proxy/ 20000 16 256
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
#hostname
visible_hostname gateway.XX.XX.XX
#IP rejtés
forwarded_for off
# DNS
dns_nameservers XX.XX.XX.XX
#acl
acl manager proto cache_object
acl CONNECT method CONNECT
acl purge method PURGE
acl to_localhost dst 127.0.0.1/8
#no cache
acl NO-CACHE-SITES dstdomain youtube.com
no_cache deny NO-CACHE-SITES
#bábel
acl local-servers dst rzsappwYY.mg.mesroot.loc
http_access allow local-servers
#belföld
acl ras src AA.BB.YY.YY-AA.BB.YY.YY #RAS
acl dmz src AA.BB.YY.YY-AA.BB.YY.YY #DMZ
acl betarcs src AA.BB.YY.YY-AA.BB.YY.YY #betárcsázós
acl openvpn src AA.BB.YY.YY-AA.BB.YY.YY #openvpn
acl belso src AA.BB.YY.YY-AA.BB.YY.YY #belso
acl valami src AA.BB.YY.YY-AA.BB.YY.YY #valami
acl kulso src AA.BB.YY.YY-AA.BB.YY.YY #videk
acl kulsoYY src AA.BB.YY.YY-AA.BB.YY.YYYY7 #videk2
acl kulso3 src AA.BB.YY.YYYY8-AA.BB.YY.YY #videk3
#külföld
acl kulfold src AA.BB.YY.YY-AA.BB.YY.ZZ #külföld
acl kulfold2 src AA.BB.YY.-AA.BB.YY.YY #külföld2
acl babel src AA.BB.YY.YY #babel
acl citszar src AA.BB.YY.YY #citszar
#üzem
acl uzem1 src AA.BB.YY.YY-AA.BB.YY.87 #üzem1
acl uzem2 src AA.BB.YY.YY-AA.BB.YY.YY #üzem2
acl uzem3 src AA.BB.YY.YY-AA.BB.YY.55 #üzem3
#block list
acl blocksites url_regex "/etc/squid3/squid-block"
http_access deny blocksites
deny_info http://AA.BB.XX.YY3/klikk.html blocksites
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
http_access allow dmz
http_access allow openvpn
http_access allow belso
http_access allow kulso
http_access allow kulso2
http_access allow kulso3
http_access allow üzem1
http_access allow üzem2
http_access allow üzem3
http_access allow CONNECT !SSL_ports
http_access deny betarcs
http_access deny ras
http_access deny kulfold
http_access deny kulfoldYY
http_access deny all
update1
megoldás félig meddig mert utána a kilépésre dobja el magát:
ignore_expect_100 on (xar az "alma" program..)
- 4862 megtekintés
Hozzászólások
Kicsit többet tudni nem ártana*, de ha van tiltás squid-ben, akkor a acl local-serves dst my.domain.net-et ez elé rakd. Illetve a http_access allow local-servers is a tiltás előtt legyen a konfigban.
*update: "akkor nem tud csatlakozni az accunt-szerverre" Ezt részletezd! Squid hiba jön? látszólag rendben de nem lép be? stb-stb.
- A hozzászóláshoz be kell jelentkezni
A felhazsnáló gépén indítom az alma programot ami próbál csatlakozni az alma accunt szerverhez.
Maga a program írja nekem ki, hogy nem tud csatlakozni a szerverhez. A logokban nem látok semmit se :S
Ha beállítom proxy kivételnek a kliens gépen akkor alma nevű program fut.
- A hozzászóláshoz be kell jelentkezni
Lehet hülyeséget kérdezek de az a program egyáltalán http-n kommunikál?
- A hozzászóláshoz be kell jelentkezni
részlet a program config fileból:
addressBase value="http://alma.accunt.szerver"
jah azon kommunikál
- A hozzászóláshoz be kell jelentkezni
Ha belépsz a proxy szerverre, onnan a http://alma.accunt.szerver elérhető?
- A hozzászóláshoz be kell jelentkezni
Ez csak azt jelenti, hogy 80-as porton szól a szerverhez, és jó esetben http-t beszél.
DE.
Látott már a világ olyat, hogy "CONNECT" parancs, amit illendően nem szokás megengedni. Kellene hálózati forgalmat dumpolni, és akkor kiderül, hogy mit akar csinálni a kliens.
- A hozzászóláshoz be kell jelentkezni
squid3: logja az alma szerverre való csatlakozáshoz:
1393943232.683 0 XX.XX.XX.XX NONE/417 4541 POST http://alma.szerver/mct/HU - NONE/- text/html
- A hozzászóláshoz be kell jelentkezni
Első körben ezt mondja az alma szervernek, ez stimmt, kérdés, hogy a squid ezt a kérést auth nélkül engedi-e, és a túloldla (az alma) beengedi-e ezzel a kéréssel a squid-et futtató gépet.
- A hozzászóláshoz be kell jelentkezni
beraktam az "ignore_expect_100 on" a squid.conf file-ba, s engedi az adatokat elküldeni az alma accunt szever felé. A user tud az alma programba dolgozni, egyedül a kilépéskor szál el.
- A hozzászóláshoz be kell jelentkezni
A kilépésnél, mikor elszáll mi kerül be a squid logba?
- A hozzászóláshoz be kell jelentkezni
Használj központi proxy.pac fájlt a proxy beállításához és akkor megspórolod a gépenkénti mókolást.
kb ennyi elég kell legyen (emlékezetből írtam):
function FindProxyForURL (url, host) {
if ((host == "alma.ceges.domain")) {
return "DIRECT";
}
return "PROXY ide_a_sajat_proxy_listat_rakd_be";
}
- A hozzászóláshoz be kell jelentkezni
pac vagy wpad?- böngészőfüggő ? vagy hülyeséget kérdezek
- A hozzászóláshoz be kell jelentkezni
PAC = Proxy Auto Config
WPAD = Web Proxy Autodiscovery Protocol
A böngésző WPAD (DHCP vagy DNS) segítségével találhatja meg a PAC fájlt, ami beállítja a Proxy-t.
Ha a PAC fájlt helyét kézzel beállítod (ami lehet akár lokálisan is), akkor a WPAD-ra nincs szükség.
- A hozzászóláshoz be kell jelentkezni
Ez azért nem jó mert a vidéki gépek csak a proxin keresztzül mehetnek ki a 80 porton.
Ha berakom a kivételnek akkor a program megint nem fog kommunikálni.
Ezért kellene mindenféleképpen a szerveren megoldani, hogy ő hagyja figyelmen kívül azt a domaint.
Tudom elbaxxxx a rendszer de így kell megcsinálnom.
- A hozzászóláshoz be kell jelentkezni
Szóval ha jól értem akkor van több telephely, és ezek valamilyen módon kapcsolódnak a központhoz. Ez milyen kapcsolat? (VPN?)
Ami nem teljesen világos még ebben, hogy az "alma" szerver, az most belső vagy külső erőforrás?
Egy valamilyen kapcsolati ábra jól jönne, hogy a belső kliensek hogy működnek és a vidékieknek hogy kellene.
Pl:
vidéki kliens --> VPN/tűzfal --> Proxy --> Tűzfal --> internet
- A hozzászóláshoz be kell jelentkezni