Название: Freebsd + Ipfw+nat+squid+ad
Отправлено: Zhan от 19 Июня 2009, 20:24
Отправлено: Zhan от 19 Июня 2009, 20:24
здрасьте )))
нужно настроить squid с авторизацией в AD Win2k3
поднял фряху, настроил IPFW+NAT
все работает, то есть через нат все могут ходить в интернет
согласно статье http://sys-adm.org.ua/www/squid-ad.php (//\"http://sys-adm.org.ua/www/squid-ad.php\") поднимаю SQUID
теперь если в настройках браузера указать ip прокси и порт 3128, то все замечательно работает.
Далее хочу завернуть все запросы на HTTP HTTPS FTP завернуть на squid
для этого в IPFW добавляю(до ната) правило:
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet}:${imask} to any 80,443,21 via ${iif}
где inet=192.168.1.0
imask=255.255.255.0
iif = внутренний интерфейс
в настройках браузера ставлю автоматически определять настройки прокси для данной сети
пытаюсь зайти на какой нибудь сайт
не пускает!!!
/angry.gif\' class=\'bbc_emoticon\' alt=\':angry:\' />
пишет в браузере:
ERROR
The requested URL could not be retrieved
и тд
в логах:
ns# tail -5 /usr/local/squid/logs/access.log
1245419344.573 0 192.168.1.5 TCP_DENIED/403 1380 GET http://google.ru/ (//\"http://google.ru/\") - NONE/- text/html
1245419346.503 0 192.168.1.5 TCP_DENIED/403 1380 GET http://google.ru/ (//\"http://google.ru/\") - NONE/- text/html
1245419347.182 0 192.168.1.5 TCP_DENIED/403 1380 GET http://google.ru/ (//\"http://google.ru/\") - NONE/- text/html
1245420001.130 0 192.168.1.5 TCP_DENIED/400 2055 GET NONE:// - NONE/- text/html
1245420017.304 0 192.168.1.5 TCP_DENIED/400 1832 GET NONE:// - NONE/- text/html
ns#
ns# tail -5 /usr/local/squid/logs/cache.log
2009/06/19 19:57:41| Validated 134 Entries
2009/06/19 19:57:41| store_swap_size = 704k
2009/06/19 19:57:41| storeLateRelease: released 0 objects
2009/06/19 20:00:01| clientTryParseRequest: FD 22 (192.168.1.5:1617) Invalid Request
2009/06/19 20:00:17| clientTryParseRequest: FD 22 (192.168.1.5:1618) Invalid Request
ns#
Гугл ничего внятного не дал/unsure.gif\' class=\'bbc_emoticon\' alt=\':unsure:\' />
если в конфе squid поставить transparent - то в инет не пускает никого с ошибкой access denied
оказывается в режиме transparent - аутентификация невозможна.
Прошу помочь, уже не знаю куда копать...
нужно настроить squid с авторизацией в AD Win2k3
поднял фряху, настроил IPFW+NAT
все работает, то есть через нат все могут ходить в интернет
согласно статье http://sys-adm.org.ua/www/squid-ad.php (//\"http://sys-adm.org.ua/www/squid-ad.php\") поднимаю SQUID
теперь если в настройках браузера указать ip прокси и порт 3128, то все замечательно работает.
Далее хочу завернуть все запросы на HTTP HTTPS FTP завернуть на squid
для этого в IPFW добавляю(до ната) правило:
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${inet}:${imask} to any 80,443,21 via ${iif}
где inet=192.168.1.0
imask=255.255.255.0
iif = внутренний интерфейс
в настройках браузера ставлю автоматически определять настройки прокси для данной сети
пытаюсь зайти на какой нибудь сайт
не пускает!!!
пишет в браузере:
ERROR
The requested URL could not be retrieved
и тд
в логах:
ns# tail -5 /usr/local/squid/logs/access.log
1245419344.573 0 192.168.1.5 TCP_DENIED/403 1380 GET http://google.ru/ (//\"http://google.ru/\") - NONE/- text/html
1245419346.503 0 192.168.1.5 TCP_DENIED/403 1380 GET http://google.ru/ (//\"http://google.ru/\") - NONE/- text/html
1245419347.182 0 192.168.1.5 TCP_DENIED/403 1380 GET http://google.ru/ (//\"http://google.ru/\") - NONE/- text/html
1245420001.130 0 192.168.1.5 TCP_DENIED/400 2055 GET NONE:// - NONE/- text/html
1245420017.304 0 192.168.1.5 TCP_DENIED/400 1832 GET NONE:// - NONE/- text/html
ns#
ns# tail -5 /usr/local/squid/logs/cache.log
2009/06/19 19:57:41| Validated 134 Entries
2009/06/19 19:57:41| store_swap_size = 704k
2009/06/19 19:57:41| storeLateRelease: released 0 objects
2009/06/19 20:00:01| clientTryParseRequest: FD 22 (192.168.1.5:1617) Invalid Request
2009/06/19 20:00:17| clientTryParseRequest: FD 22 (192.168.1.5:1618) Invalid Request
ns#
Гугл ничего внятного не дал
если в конфе squid поставить transparent - то в инет не пускает никого с ошибкой access denied
оказывается в режиме transparent - аутентификация невозможна.
Прошу помочь, уже не знаю куда копать...
Название: Freebsd + Ipfw+nat+squid+ad
Отправлено: Gothon от 20 Июня 2009, 22:18
Отправлено: Gothon от 20 Июня 2009, 22:18
Скорее всего неправильный форвард. Мне кажется нужно попроще сделать - без лишних "колец", не заворачивать одно правило через три, сразу пустить трафик через сквид, а нужные IP спрятать за NAT
Название: Freebsd + Ipfw+nat+squid+ad
Отправлено: Zhan от 21 Июня 2009, 11:10
Отправлено: Zhan от 21 Июня 2009, 11:10
[quote name=\'Gothon\' post=\'5486\' date=\'20.6.2009, 22:18\']Скорее всего неправильный форвард. Мне кажется нужно попроще сделать - без лишних "колец", не заворачивать одно правило через три, сразу пустить трафик через сквид, а нужные IP спрятать за NAT[/quote]
А можно подробнее?
Я как то не представляю как отправить трафик на сквид.
+ у меня в локалке мейл+веб сервер, как он будет через сквид работать?
А можно подробнее?
Я как то не представляю как отправить трафик на сквид.
+ у меня в локалке мейл+веб сервер, как он будет через сквид работать?
Название: Freebsd + Ipfw+nat+squid+ad
Отправлено: Zhan от 22 Июня 2009, 15:34
Отправлено: Zhan от 22 Июня 2009, 15:34
скорее всего форвард на сквид невозможен - если он непрозрачный. а при прозрачном сквиде не работает ntlm авторизация.
Поэтому проблему решили тем, что убрали правило форварда в IPFW и т.к. у нас поднят домен то в групповых политиках жестко задали адрес и порт прокси для всех пользователей домена, тем самым избавившись от проблемы прописывать в браузерах каждого клиента эту информацию.
Огромное спасибо Vicpo за оказанную помощь и консультации/rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />
Поэтому проблему решили тем, что убрали правило форварда в IPFW и т.к. у нас поднят домен то в групповых политиках жестко задали адрес и порт прокси для всех пользователей домена, тем самым избавившись от проблемы прописывать в браузерах каждого клиента эту информацию.
Огромное спасибо Vicpo за оказанную помощь и консультации