URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 92014
[ Назад ]

Исходное сообщение
"Прозрачный прокси SQUID + Авторизация"

Отправлено askmevo , 27-Июл-11 21:07 
Доброе время суток!
Есть вопрос к профам FreeBSD.

Был долги и мучительный опыт сборки прозрачного прокси squid на freebsd
Получилось только после пересборки ядра.
Но выяснилось что авторизация в squid в прозрачном режиме не возможна.
Из опыта знаю что в freebsd нет слого невозможно.

Какие могут быть алтернативние решения вплоть до другого софта кроме squid.
Может уже есть готовое решение.
В какую сторону стоит искать.


Содержание

Сообщения в этом обсуждении
"Прозрачный прокси SQUID + Авторизация"
Отправлено anonymous , 27-Июл-11 21:44 
> Доброе время суток!
> Есть вопрос к профам FreeBSD.
> Был долги и мучительный опыт сборки прозрачного прокси squid на freebsd
> Получилось только после пересборки ядра.
> Но выяснилось что авторизация в squid в прозрачном режиме не возможна.
> Из опыта знаю что в freebsd нет слого невозможно.
> Какие могут быть алтернативние решения вплоть до другого софта кроме squid.
> Может уже есть готовое решение.
> В какую сторону стоит искать.

Похоже, Вы просто не понимаете принцип работы прозрачного прокси. Кстати, для прокси вообще и сквида в частности есть отдельный раздел.
Что можно придумать? Ну, разве что авторизацию по паре MAC+IP...


"Прозрачный прокси SQUID + Авторизация"
Отправлено sm00th1980 , 28-Июл-11 10:24 
прозрачный прокси + авторизация невозможна.

И дело не во freebsd, дело в клиентском браузере и его логике работы с прокси.

Поясню: если у клиента в браузере не стоит крыжик использовать прокси сервер - то он в запросах не будет посылать данные об авторизации и прокси, т.к. если даже на первый запрос у него придёт REDIRECT_TO_PROXY то браузер даст отлуп - т.к. с его точки зрения какой-то левый прокси стоит между ним и интернетом и явно хочет перехватывать информацию.

Т.е. это чисто ограничение по безопасности именно браузера.

PS  да и вариант авторизации через cookie тоже не подойдёт... :(
PS2 как вариант можно редиректить на страницу авторизации, авторизаовать клиента, запоминать его IP+MAC и после этого пускать в интернет. Периодически авторизация должна протухать и требовать повторного ввода пароля. Но это ужасный костыль + потребуется программинг.


"Прозрачный прокси SQUID + Авторизация"
Отправлено BearWhite , 28-Июл-11 10:58 
>[оверквотинг удален]
> и прокси, т.к. если даже на первый запрос у него придёт
> REDIRECT_TO_PROXY то браузер даст отлуп - т.к. с его точки зрения
> какой-то левый прокси стоит между ним и интернетом и явно хочет
> перехватывать информацию.
> Т.е. это чисто ограничение по безопасности именно браузера.
> PS  да и вариант авторизации через cookie тоже не подойдёт... :(
> PS2 как вариант можно редиректить на страницу авторизации, авторизаовать клиента, запоминать
> его IP+MAC и после этого пускать в интернет. Периодически авторизация должна
> протухать и требовать повторного ввода пароля. Но это ужасный костыль +
> потребуется программинг.

Возможно !
http_port 3128
http_port 3130 transparent
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 1 hours
acl LOCAL proxy_auth REQUIRED
Пример !!!


"Прозрачный прокси SQUID + Авторизация"
Отправлено BearWhite , 28-Июл-11 11:01 
http_port 3128
http_port 3130 transparent
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 1 hours
acl LOCAL proxy_auth REQUIRED


Конфиг не полный но для наглядности вполне достаточно

IPFW Заворачивает одних на 3130 других 3128


"Прозрачный прокси SQUID + Авторизация"
Отправлено Сергей , 28-Июл-11 11:36 
> http_port 3128
> http_port 3130 transparent
> auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/passwd
> auth_param basic children 5
> auth_param basic credentialsttl 1 hours
> acl LOCAL proxy_auth REQUIRED
> Конфиг не полный но для наглядности вполне достаточно
> IPFW Заворачивает одних на 3130 других 3128

Ну и что мы поимеем, окошко с запросом имени и пароля, ну какой же тут прозрачный проксик, в принципе если есть домен, то можно использовать windows auth, но и в этом случае у браузера должен быть прописан проксик, установку параметров для этого можно прописывать в  
логин скриптах...


"Прозрачный прокси SQUID + Авторизация"
Отправлено bearwhite , 28-Июл-11 11:53 
Для каждого порта свои правила



"Прозрачный прокси SQUID + Авторизация"
Отправлено bearwhite , 28-Июл-11 11:57 
http_port 3128
http_port 3130 transparent
auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/passwd
auth_param basic children 5
auth_param basic realm
auth_param basic credentialsttl 1 hours
acl LOCAL proxy_auth REQUIRED
acl LocalNet src 192.168.0.*

ну и т. д.
+ IPFW заворачивает на определенный порт определенный айпи !


"Прозрачный прокси SQUID + Авторизация"
Отправлено askmevo , 28-Июл-11 15:24 
У меня стоит Freebsd с прозрачным squid а авторизацию делает микротик. Выстроено линейно, тоесть '

локалка ------ микротик ------ фри ------глобал

Какие минусы у системи?


"Прозрачный прокси SQUID + Авторизация"
Отправлено makckc , 30-Авг-11 05:46 
А есть такой вопрос, имеется сервер поднят сквид, фаервол, все это натится, запросы на 80 порт редиректятся на прозрачный прокси, если я например прописать в браузере прокси возможна авторизация!? например свнешки?    


"Прозрачный прокси SQUID + Авторизация"
Отправлено makckc , 30-Авг-11 05:49 
А есть такой вопрос, имеется сервер поднят сквид, фаервол, все это натится,
запросы на 80 порт редиректятся на прозрачный прокси, если я например
прописываю в браузере прокси то он меня пускает спокойно так как в конфиге сквида прописано разрешение моей локалки, а можно сделать имено на не прозрачный прокси авторизацию, а прозрачный гулял себе, например я буду заходить с внешки!?