Zentyal Forum, Linux Small Business Server
International => Russian => Topic started by: ds on March 25, 2014, 06:36:26 pm
-
доброго времени...
есть сеть в которой интернет предоставляется через вышестоящюю проксю 83.хх.хх.хх:8080 с авторизацией.
то есть в zentyal (3.3.7) прописываю логин и пароль для авторизации и все отлично работает по 3128 порту. (все ходят в интернет)
решил поднять прозрачный прокси в своей сети и затуп...
обычный трафик ходит (как и должно быть) но с ssl - беда, не пускает squid через себя (так как атака что-то там посередине)
как быть в данной ситуации?
смотрю в сторону ssl_bump, но это лезть во внутрянку... через веб морду есть возможность разрешить ситуацию?
-----------------------------
извиняюсь голосование, само вышло :)
-
если я вас правильно понял
то вам нужно zentyal указать в качестве шлюза и открыть на нем 443 порт
-
zentyal указывается что он шлюз через dhcp
если вы предлагаете в браузере прописывать какие то настройки, то какой же это прозрачный прокси??
ну и открою я на zentyal 443 порт, что дальше делать?
куда заворачивать трафик? на порт сквида? на вышестоящий прокси?
-
вышестоящий прокси указан для zentyal в качестве шлюза?
вот на него и будет дальше заворачиваться трафик
-
вышестоящий прокси указан для zentyal в качестве шлюза?
но разве открытие порта и заворот на вышестоящий прокси не будут идти в обход моего местного прокси... и то есть весь трафик завернутый на вышестоящий прокси будет требовать авторизации?? так?
если да то смысла в таком нетуююю так как свкид ставил наоборот чтобы убрать запросы авторизации с вышестоящего прокси
-
вы писал что ваш zentyal авторизуется на вышестоящем прокси(шлюзе), этого достаточно
а дальше необходимый трафик (https) который идёт в обход вашего сквида прокси сервера, маршрутизируется на вышестоящий прокси (шлюз)
и авторизация для пользователей на вышестоящем не нужна, т.к. zentyal авторизован, он же раздает интернет
вот, как то так
вощем нужно пробовать
-
сеть в которой интернет предоставляется через вышестоящюю проксю 83.хх.хх.хх:8080 с авторизацией.
то есть в zentyal (3.3.7) прописываю логин и пароль для авторизации и все отлично работает по 3128 порту. (все ходят в интернет)
возможно не так выразился.
в Z прописываю логин и пароль в >СЕТЬ>ШЛЮЗ>ПРОКСИ (то есть это наналогично приписыванию
cache_peer 85.хх.хх.хх parent 8080 0 login=user:passwords proxy-only default в сквиде)
сам Z на внешней прокси никак не аторизируется
-
ну выж щас сами пишите что в Z прописываете логин и пароль
значит по этим логин и пароль он и авторизуется
и тут же пишите "сам Z на внешней прокси никак не аторизируется"
-
ну выж щас сами пишите что в Z прописываете логин и пароль
значит по этим логин и пароль он и авторизуется -
---------------------------------
это, как я понимаю, авторизация локального прокси на вышестоящем проксе (СЕТЬ>ШЛЮЗ>ПРОКСИ).. чтобы пользователи локальной сети пользовались интернетом без запросов авторизации вышестоящего прокси (через непрозрачный прокси)..логично же
сам Z на внешней прокси никак не авторизируется - не авторизируется в плане в том плане что вышестоящий прокси никак не знает о моем z.
вы советовали, при использовании мною прозрачного прокси, заворачивать весь ssl трафик (то есть трафик локальный не будет проходить через мой прокси на z) на вышестоящий прокси, а так как вышестоящий прокси ничего не знает обо мне - будет запрашивать авторизации же..логично или нет?
-
думаю вы немного не до понимаете в понятии маршрутизации трафика
ваши пользователи ничего не знают о вышестоящем прокси (шлюзе)
для этого у них есть zentyal который раздает ip адреса а также является шлюзом по умолчанию для них
но ваш zentyal знает о существовании ваших пользователях и о вышестоящем прокси (шлюзе)
на нем настроен прокси сервер squid в прозрачном режиме
все запросы поступающие на порт 80 то есть открытия страницы в браузере пользователя перенаправляются на прокси squid (по умолчанию порт 3128)
далее ваш прокси сервер squid передает на вышестоящий прокси
другое дело обстоит если пользователь пытается открыть https страницу
т.к. прокси сервер squid не проксирует https запросы то ваш zentyal шлюз передает запрос дальше на вышестоящий шлюз
который у вас также является вышестоящим прокси сервером, но squid в этом деле не участвует
и кстати на вышестоящем прокси(шлюзе) должен быть тоже открыт порт 443 для https
авторизацию пользователь на вышестоящем шлюзе(прокси) не должен и не будет проходить
т.к. ваш прокси zentyal уже авторизован
а ваш вышестоящий прокси(шлюз) ничего не знает о ваших пользователях
надеюсь нигде не ошибся и понятно объяснил :)
-
допустим, чисто гипотетически, что я валенок... :)
допустим, хотя не уверен, что порт 443 открыт на внешнем прокси
как правильно завернуть трафик из веб морды или через iptables?
-
вручную ничего делать не нужно
вы при указании в вебморде шлюзов, проксей итд итп
таблица маршрутизации, правила файрвола итд итп изменяется автоматом
для этого и изобрели удобную веб морду
чтобы вы ручками конфиги не правили
у вас на данный момент https страницы не открываются у пользователей?
а если попробовать с zentyal машины?
-
>>у вас на данный момент https страницы не открываются у пользователей?
>>а если попробовать с zentyal машины?
так точно :) включена галочка прозрачного прокси
на самом Z в настройках сети лисы прописано "юзе систем прокси сеттингс" :)
если пытатся зайти на гугловские карты, не пускат так как по https
а если в обычный интернет идти - то вылезает запрос авторизации на выщестоящем прокси (moz-proxy://85.xx.xx.xx:8080 требует ввести логин и пароль)
-
если пытатся зайти на гугловские карты, не пускат так как по https
а если в обычный интернет идти - то вылезает запрос авторизации на выщестоящем прокси (moz-proxy://85.xx.xx.xx:8080 требует ввести логин и пароль)
и если авторизоваться, то в интернет пускает?
и на https сайты тоже или нет?
-
коллега давайте закроем этот безрезультатный топик.
-
...а мне вот, например, стало интересно - а как в топике появилось голосование? ;-)
-
я просто пытаюсь понять
без zentyal и без ваших соответственно пользователей
если просто подключить напрямую ноутбук или комп или итд итп. к внешней сети
у вас будет полноценный интернет или нет
ну впрочем как хотите, можем и закрыть
-
я просто пытаюсь понять
без zentyal и без ваших соответственно пользователей
если просто подключить напрямую ноутбук или комп или итд итп. к внешней сети
у вас будет полноценный интернет или нет
ну впрочем как хотите, можем и закрыть
Нет не будет у него интернета, похоже упирается он в "провайдерский" прокси с авторизацией. Видимо топикстартер хотел раздать инет по пользователям через Zentyal, для исключения у пользователей авторизации, но не тут то было прозрачный прокси в zentyal не понимает SSL и пропускает на прямую мимо прозрачного прокси, тут то и упираются его пользователи в "провайдерский" прокси.
-
я понимаю что топикстарте хочет
если https сайты не будут открываться
значит нужно пинать провайдера
то что просто http сайты работают
это мы выяснили я думаю
-
Кто нибудь из здесь присутствующих знает как происходит обработка трафика при работе с прокси сервером, как при проходе через сам zentyal, так и при передаче его вышестоящему прокси серверу?
1) провайдер тут совсем не причём и исправно предоставляет услугу!
2) но zentyal умеет прозрачно заталкивать только http трафик в прокси сервер.
3) Не http трафик zentyal пробует провести через цепочку NAT и отдать ШЛЮЗУ ! (затолкать не http трафик в данном случае в вышестоящий прокси сервер просто не удастся!)
-
"кто нибудь" имеет себе представление
1. с чего Вы взяли что провайдер не причем?
я этого не услышал от создателя темы.
у меня лично аналогичная схема сети с вышестоящим прокси с http авторизацией
и, при авторизации с вышестоящим прокси у меня открываются абсолютно все сайты и открыты все порты
3. про маршрутизацию было сказано выше мною
просто я объяснял "на пальцах" без употребления слов NAT и другой терминологии
-
i be back...
стоило прикрыть топ и сразу столько интересных мнений...
наш, так сказать, провайдер ЦИТ ТАТАРСТАНА (который предоставил нашему бюджетному учреждению + вообще всем бюджетным оранизациям интернет по договору, бесплатно, халявно, безлимитно, и со своими правилами.... +великий фаерволл цита. который все зарубает все что выходит из его локальной сети, чтобы добавить порт и направление нужно писать официальное письмо (например смотреть вебинары).... посему я понял куда клонил уважаемый xcod и решил закрыть тему)
единственное решение которое я в данный момент вижу... это экспериментировать со сквидом и ssl_bump
ну как то так
_________________________________
то есть если взять комп (с виндой например на борту) прописать настройки айпишнеки днскники и подключить напрямую к модему, предоставляемым цитом, НО не указывать шлюз, то никакого интрернета нету и в помине..
-
http://labs.zentyal.org/https-transparent-proxy-in-zentyal/ (http://labs.zentyal.org/https-transparent-proxy-in-zentyal/)
-
Как эксперименты? Получилось реализовать метод описанный в статье?