hisax
11.12.08, 11:12
Hallo zusammen,
ich habe folgendes Problem:
Ich betreibe einen Squid-Proxy der seine User über squid_ldap_group über ein AD authentifiziert und ungewollte Seiten per squidGuard filtert. Das klappt soweit auch bestens.
Jetzt zu meinem Problem.
Einige möchten jetzt gotomeeting von Citrix nutzen und ich habe als zusätzliche Konfiguration den Port 8020 + 443 den gotomeeting braucht mitsamt den IP-Bereichen (die von Citrix kommen) freigegeben. Dachte ich zumindest,...
TCP_DENIED/407 1899 CONNECT 216.219.118.209:443 - NONE/- text/html
Die Ip zu der er connecten möchte ist auch in der Konfiguration mit drin, also vermute ich dass irgendwas an der Config verquer ist.
Daher hier meine Config:
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 5
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Benutzernamen und Passwort eingeben
auth_param basic credentialsttl 2 hours
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
external_acl_type AD_Group %LOGIN /usr/lib/squid/squid_ldap_group -b "OU=xxx,DC=xxxxxx,DC=xxx" -f "(&(objectclass=person)(sAMAccountName=%u)(memberof=C N=%g,OU=Groups,OU=xxx,DC=xxxxxx,DC=xxxx))" -h xxxxxxxx -S -D "CN=xxx,CN=Users,DC=xxxx,DC=xxxx" -W /etc/squid/ldappw
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443
acl SSL_ports port 8020
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 563
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl purge method PURGE
acl CONNECT method CONNECT
# gotomeeting-freigabe
acl go2meeting_ports port 8020 443
acl go2meeting_domain dstdomain gotomeeting.com
acl go2meeting_net dst 216.115.208.0/20
acl go2meeting_net dst 216.219.112.0/20
acl go2meeting_net dst 66.151.158.0/24
acl go2meeting_net dst 66.151.150.160/27
acl go2meeting_net dst 66.151.115.128/26
acl go2meeting_net dst 64.74.80.0/24
acl go2meeting_net dst 202.173.24.0/21
acl go2meeting_net dst 67.217.64.0/19
acl go2meeting_net dst 78.108.112.0/20
acl go2meeting_method method CONNECT
acl self src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxx/32
acl xxx src 192.xxxx/32
acl xxx src 192.xxxx/32
acl domainwww external AD_Group InetGlobalAccess
acl restrictedwww external AD_Group InetRestAccess
acl specialwww external AD_Group InetSpecialAccess
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow self
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow domainwww
http_access allow restrictedwww
http_access allow specialwww
# gotomeeting
http_access allow go2meeting_ports go2meeting_domain go2meeting_net go2meeting_method
http_access deny all
Das waren so die interessanten und in meinen Augen relevanten Teile der Config.
Ich bin dankbar für jegliche Anregung.
Gruß
Hisax
ich habe folgendes Problem:
Ich betreibe einen Squid-Proxy der seine User über squid_ldap_group über ein AD authentifiziert und ungewollte Seiten per squidGuard filtert. Das klappt soweit auch bestens.
Jetzt zu meinem Problem.
Einige möchten jetzt gotomeeting von Citrix nutzen und ich habe als zusätzliche Konfiguration den Port 8020 + 443 den gotomeeting braucht mitsamt den IP-Bereichen (die von Citrix kommen) freigegeben. Dachte ich zumindest,...
TCP_DENIED/407 1899 CONNECT 216.219.118.209:443 - NONE/- text/html
Die Ip zu der er connecten möchte ist auch in der Konfiguration mit drin, also vermute ich dass irgendwas an der Config verquer ist.
Daher hier meine Config:
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 5
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Benutzernamen und Passwort eingeben
auth_param basic credentialsttl 2 hours
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
external_acl_type AD_Group %LOGIN /usr/lib/squid/squid_ldap_group -b "OU=xxx,DC=xxxxxx,DC=xxx" -f "(&(objectclass=person)(sAMAccountName=%u)(memberof=C N=%g,OU=Groups,OU=xxx,DC=xxxxxx,DC=xxxx))" -h xxxxxxxx -S -D "CN=xxx,CN=Users,DC=xxxx,DC=xxxx" -W /etc/squid/ldappw
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443
acl SSL_ports port 8020
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 563
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl purge method PURGE
acl CONNECT method CONNECT
# gotomeeting-freigabe
acl go2meeting_ports port 8020 443
acl go2meeting_domain dstdomain gotomeeting.com
acl go2meeting_net dst 216.115.208.0/20
acl go2meeting_net dst 216.219.112.0/20
acl go2meeting_net dst 66.151.158.0/24
acl go2meeting_net dst 66.151.150.160/27
acl go2meeting_net dst 66.151.115.128/26
acl go2meeting_net dst 64.74.80.0/24
acl go2meeting_net dst 202.173.24.0/21
acl go2meeting_net dst 67.217.64.0/19
acl go2meeting_net dst 78.108.112.0/20
acl go2meeting_method method CONNECT
acl self src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxxx/32
acl xxx src 192.xxxx/32
acl xxx src 192.xxxx/32
acl xxx src 192.xxxx/32
acl domainwww external AD_Group InetGlobalAccess
acl restrictedwww external AD_Group InetRestAccess
acl specialwww external AD_Group InetSpecialAccess
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow self
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow xxx
http_access allow domainwww
http_access allow restrictedwww
http_access allow specialwww
# gotomeeting
http_access allow go2meeting_ports go2meeting_domain go2meeting_net go2meeting_method
http_access deny all
Das waren so die interessanten und in meinen Augen relevanten Teile der Config.
Ich bin dankbar für jegliche Anregung.
Gruß
Hisax