Freebsd + Ipfw+nat+squid+ad

Автор Zhan, 19 Июня 2009, 20:24

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Zhan

здрасьте )))
нужно настроить squid с авторизацией в AD Win2k3
поднял фряху, настроил IPFW+NAT
все работает, то есть через нат все могут ходить в интернет

согласно статье http://sys-adm.org.ua/www/squid-ad.php поднимаю SQUID

теперь если в настройках браузера указать ip прокси и порт 3128, то все замечательно работает.

Далее хочу завернуть все запросы на HTTP HTTPS FTP завернуть на squid

для этого в IPFW добавляю(до ната) правило:

${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet}:${imask} to any 80,443,21 via ${iif}

где inet=192.168.1.0
imask=255.255.255.0
iif = внутренний интерфейс

в настройках браузера ставлю автоматически определять настройки прокси для данной сети

пытаюсь зайти на какой нибудь сайт
не пускает!!!  http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/angry.gif\' class=\'bbc_emoticon\' alt=\':angry:\' />

пишет в браузере:
ERROR
The requested URL could not be retrieved

и тд

в логах:

ns# tail -5 /usr/local/squid/logs/access.log
1245419344.573      0 192.168.1.5 TCP_DENIED/403 1380 GET http://google.ru/ - NONE/- text/html
1245419346.503      0 192.168.1.5 TCP_DENIED/403 1380 GET http://google.ru/ - NONE/- text/html
1245419347.182      0 192.168.1.5 TCP_DENIED/403 1380 GET http://google.ru/ - NONE/- text/html
1245420001.130      0 192.168.1.5 TCP_DENIED/400 2055 GET NONE:// - NONE/- text/html
1245420017.304      0 192.168.1.5 TCP_DENIED/400 1832 GET NONE:// - NONE/- text/html
ns#

ns# tail -5 /usr/local/squid/logs/cache.log
2009/06/19 19:57:41|   Validated 134 Entries
2009/06/19 19:57:41|   store_swap_size = 704k
2009/06/19 19:57:41| storeLateRelease: released 0 objects
2009/06/19 20:00:01| clientTryParseRequest: FD 22 (192.168.1.5:1617) Invalid Request
2009/06/19 20:00:17| clientTryParseRequest: FD 22 (192.168.1.5:1618) Invalid Request
ns#

Гугл ничего внятного не дал  http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/unsure.gif\' class=\'bbc_emoticon\' alt=\':unsure:\' />

если в конфе squid поставить transparent - то в инет не пускает никого с ошибкой access denied
оказывается в режиме transparent - аутентификация невозможна.

Прошу помочь, уже не знаю куда копать...
А нынешние дураки ничем не хуже своих предков..:)

Gothon

Скорее всего неправильный форвард. Мне кажется нужно попроще сделать - без лишних "колец", не заворачивать одно правило через три, сразу пустить трафик через сквид, а нужные IP спрятать за NAT

Zhan

[quote name=\'Gothon\' post=\'5486\' date=\'20.6.2009, 22:18\']Скорее всего неправильный форвард. Мне кажется нужно попроще сделать - без лишних "колец", не заворачивать одно правило через три, сразу пустить трафик через сквид, а нужные IP спрятать за NAT[/quote]

А можно подробнее?
Я как то не представляю как отправить трафик на сквид.
+ у меня в локалке мейл+веб сервер, как он будет через сквид работать?
А нынешние дураки ничем не хуже своих предков..:)

Zhan

скорее всего форвард на сквид невозможен - если он непрозрачный. а при прозрачном сквиде не работает ntlm авторизация.
Поэтому проблему решили тем, что убрали правило форварда в IPFW и т.к. у нас поднят домен то в групповых политиках жестко задали адрес и порт прокси для всех пользователей домена, тем самым избавившись от проблемы прописывать в браузерах каждого клиента эту информацию.

Огромное спасибо Vicpo за оказанную помощь и консультации http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />
А нынешние дураки ничем не хуже своих предков..:)