Muff's website forum
FreeBSd => Soft => Тема начата: Goffanon от Апреля 26, 2012, 03:49:12 pm
-
Настроил Squid и SAMS.
Так же "покурил" эту статью :)
http://muff.kiev.ua/content/squid-sams-gibkost-v-upravlenii-dostupom
У пользователей беру из AD.
Появилась проблема.
Если у пользователя в браузере указан прокси сервер, то он авторизуется и спокойно лезет в инет и по нему считается траффик.
Если пользователь принудетльно перенаправляется на сквид то не проходит авторизацию :(
Для прозрачного проксирования в squid.conf внесена запись http_port 192.168.х.1 3128 transparent
Вот вырезка из access.log
1335443938.621 82 192.168.х.z TCP_MISS/200 568 GET http://mc.yandex.ru/watch/722889? user1 DIRECT/87.250.250.119 text/javascript
1335443938.839 243 192.168.х.у TCP_MISS/200 1142 GET http://forum.theprodigy.ru/index.php? user2 DIRECT/90.156.145.230 text/html
1335443938.861 0 192.168.x.n TCP_DENIED/407 1838 GET http://sp4.lovesupport.ru/4/0/1/603244401/708479897_medium.jpg? - NONE/- text/html
Юзер 1 и 2 идут через прокси, а некто третий не перенаправленный фаерволом не предоставляет свои данные :(
Что посоветуете и какие конфиги запостить для помощи в решении этого вопроса?
ЗЫ если убрать авторизацию и пускать всех то прозрачное проксирование работает...
-
Сорри за задержку с ответом - больше недели не был за компьютером.
Если проблема не решена - просьба сообщить - попробуем решить. А если решена - тем более: опубликованный результат кому-то пригодится.
Правда связку с AD еще ни разу не реализовывал, поскольку все сервера под FreeBSD работают... :(
-
Сам в отпуске был :)
Нет к сожалению проблема не решена...
Сейчас вернулся к ее решению, пока копаю инет, но ничего интересного не нашел.
-
Ясно.
По факту просьба написать, но как уже говорил - по AD я ничем не смогу помочь :(
-
Хм... а если рассматривать работу самбы, связку Самба+Фаервол+Сквид. При принудительном заворачивании трафика на сквид фаерволом, будут ли передаваться данные авторизации от самбы в Сквид?
-
Посмотрите информацию по этой ссылке: http://www.samba.org.ua/articles/?section=10 (http://www.samba.org.ua/articles/?section=10).
-
Прочитал.
Вот здесь http://www.samba.org.ua/articles/?section=10&articleid=28
наткнулся на строку "1. Авторизация при прозрачном кэшировании НЕВОЗМОЖНА!"
И понял что все грустно...
Что то не верится что не никто не решил эту проблему.
-
Я, когда организовывал прозрачное кеширование, просто делал дополнительную связку IP+MAC - схема сети была намного проще.
-
Да как бы можно, но компов много и многие разбросаны по подразделениям, все время что то меняется. Сквид нужен что бы ограничить пользователей по потреблению интернет трафика, пользователей более 300. И заниматься привязкой пользователя к конкретной машине, сам понимаешь не вариант.
-
А сеть построена на управляемых коммутаторах, или нет?
-
Частично. Стоит в главном офисе циска, на этажах свичи. (не я за них отвечаю, но знаю что точно часть не управляемые)
-
Тогда схема отпадает... Если было бы управляемое оборудование, можно было бы решить двумя путями:
- vlan на пользователя
- DHCP+Options82 + DHCP snooping на коммутаторах
В таком случае пользователи уже не смогли бы менять IP. А привязка по МАС не нужна.
-
Угу.
Сейчас групповой политикой на ИЕ везде принудительно прописывается прокси, хотел от этого уйти... но видимо не получится.