PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Squid-Konfiguration + Problem damit



hisax
11.12.08, 11:12
Hallo zusammen,

ich habe folgendes Problem:

Ich betreibe einen Squid-Proxy der seine User über squid_ldap_group über ein AD authentifiziert und ungewollte Seiten per squidGuard filtert. Das klappt soweit auch bestens.

Jetzt zu meinem Problem.
Einige möchten jetzt gotomeeting von Citrix nutzen und ich habe als zusätzliche Konfiguration den Port 8020 + 443 den gotomeeting braucht mitsamt den IP-Bereichen (die von Citrix kommen) freigegeben. Dachte ich zumindest,...



TCP_DENIED/407 1899 CONNECT 216.219.118.209:443 - NONE/- text/html


Die Ip zu der er connecten möchte ist auch in der Konfiguration mit drin, also vermute ich dass irgendwas an der Config verquer ist.

Daher hier meine Config:



redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 5

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Benutzernamen und Passwort eingeben
auth_param basic credentialsttl 2 hours

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10

external_acl_type AD_Group %LOGIN /usr/lib/squid/squid_ldap_group -b "OU=xxx,DC=xxxxxx,DC=xxx" -f "(&(objectclass=person)(sAMAccountName=%u)(memberof=C N=%g,OU=Groups,OU=xxx,DC=xxxxxx,DC=xxxx))" -h xxxxxxxx -S -D "CN=xxx,CN=Users,DC=xxxx,DC=xxxx" -W /etc/squid/ldappw

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443
acl SSL_ports port 8020

acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 563
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl purge method PURGE
acl CONNECT method CONNECT

# gotomeeting-freigabe
acl go2meeting_ports port 8020 443
acl go2meeting_domain dstdomain gotomeeting.com
acl go2meeting_net dst 216.115.208.0/20
acl go2meeting_net dst 216.219.112.0/20
acl go2meeting_net dst 66.151.158.0/24
acl go2meeting_net dst 66.151.150.160/27
acl go2meeting_net dst 66.151.115.128/26
acl go2meeting_net dst 64.74.80.0/24
acl go2meeting_net dst 202.173.24.0/21
acl go2meeting_net dst 67.217.64.0/19
acl go2meeting_net dst 78.108.112.0/20
acl go2meeting_method method CONNECT

acl self src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxx/32
acl xxx src 192.xxxx/32
acl xxx src 192.xxxx/32
acl domainwww external AD_Group InetGlobalAccess
acl restrictedwww external AD_Group InetRestAccess
acl specialwww external AD_Group InetSpecialAccess

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

http_access allow self
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow domainwww
http_access allow restrictedwww
http_access allow specialwww
# gotomeeting
http_access allow go2meeting_ports go2meeting_domain go2meeting_net go2meeting_method

http_access deny all


Das waren so die interessanten und in meinen Augen relevanten Teile der Config.

Ich bin dankbar für jegliche Anregung.

Gruß
Hisax

Thorashh
11.12.08, 19:10
TCP_DENIED/407 1899 CONNECT 216.219.118.209:443 - NONE/- text/html
Ohne mich jetzt durch deine cfg zu arbeiten.

Error 407 -> Proxy Authentication Required

hisax
11.12.08, 20:22
Das ist mir klar ;)

Nur warum kommt Authentication Required wenn:

1. Der User prinzipiell schon durch NTLM authentifiziert ist
2. Der Zugriff genau auf diese IP generell (also auch ohne Authentifizierung) gestattet werden soll laut

http_access allow go2meeting_ports go2meeting_domain go2meeting_net go2meeting_method


Gruß
Hisax

foolish
12.12.08, 15:54
hi,

ist denn bei Deiner genannten Regel die UND Verknüpfung gewährleistet ?

Also :


acl go2meeting_net dst 216.115.208.0/20
acl go2meeting_net dst 216.219.112.0/20
acl go2meeting_net dst 66.151.158.0/24
acl go2meeting_net dst 66.151.150.160/27
...


Ich könnte mich auch irren, aber mir scheint das kann nicht erfüllt werden.

Ist evtl. wie bei den acl Ports möglich die in eine Zeile zu nehmen ? Bspl.
acl go2meeting_net dst xxx/20 xxx/24 xxx/27 ....

hisax
12.12.08, 16:04
Hallo,

ja, ist gewährleistet, sonst würde die "Standard-Config" die schon von Squid vorgegeben ist


acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
usw.

auch nicht funktionieren.

Ich hab extra nochmal im Config-Guide auf squid-cache.org nachgesehen und es funktioniert auch für src-regeln.
Und es funktioniert auch nicht wenn ich nur die Europäische Range der Citrix-Server reinnehme und das ist dann nur eine Zeile.

Aber danke für die Anregung.

Thorashh
12.12.08, 19:58
1. Der User prinzipiell schon durch NTLM authentifiziert ist Was aber offensichtlich nicht der Fall ist.


2. Der Zugriff genau auf diese IP generell (also auch ohne Authentifizierung) gestattet werden soll laut

http_access allow go2meeting_ports go2meeting_domain go2meeting_net go2meeting_method Ja, aber: "Die Reihenfolge ist entscheidend."



"http_access allow go2meeting_ports go2meeting_domain go2meeting_net go2meeting_method muss IMHO vor
http_access allow domainwww
http_access allow restrictedwww
http_access allow specialwww definiert werden.

hisax
14.12.08, 18:17
Herzlichen Dank an alle die versucht haben mir zu helfen!

Es lag letztendlich an der Version von squidGuard die bei Debian dabei ist und die offensichtlich Probleme hat mit regular expressions.

Ich habe die Version 1.3 kompiliert und damit läuft es jetzt.

@Thorashh
Jap, muss natürlich davor, aber das hatte ich eh so, nur im Zuge der ganzen Tests und Umstellungen war das wohl verrutscht ;)

Gruß
Hisax