Ich habe ein Problem mit meinem Proxy (Squid) Server. Wenn ich den Proxy im Browser eintrage, macht er eine Passwort abfrage, wenn ich allerding ein PREROUTING mit Iptables von Port 80 auf 3128 mache bekomme ich nur die Ausgabe Access denied, ich bekomme also keine Passwortabfrage.
Kann irgendjemand weiterhelfen ?
Raoul Thill
Hi,
wenn der Squid eine Passwortabfrage macht, ist aller Wahrscheinlichkeit nach authentication aktiviert. Schau mal hier in diesem Bericht nach, da steht ziemlich zu anfangs wie das aktiviert wird. Das überprüfst du bei dir und aktivierst es dann gegebenfalls.
Linux Anleitungen und Berichte: http://www.stevesweb.de
Hallo
... und wenn die Authentifizierung beabsichtigt ist, und auch beim transparenten Proxy geschehen soll, dnan überprüfe, ob der Proxy darauf konfigueriert ist, daß die ACL's Dich da nicht aussperren.
acl local src 127.0.0.1
http_access allow local
Gruß
Das Leben ist eine Spirale..man kotzt immer in der selben Kurve ;-)
Nein, davon scjeint nichts zu funktionieren. ich poste mal den ACL Teil meiner Config:
--------
httpd_accel_host virtual
httpd_accel_port 80 3128
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
acl all src 0.0.0.0/0.0.0.0
acl passwd proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1
acl SSL_ports port 443 563
acl Safe_ports port 80 443 563 1025-65535
acl CONNECT method CONNECT
http_access allow passwd all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_access allow localhost
authenticate_program /usr/lib/squid/pam_auth
authenticate_children 2
acl localnet src 192.168.0.0/255.255.255.0
acl password proxy_auth REQUIRED
http_access allow localnet password
-------
Und hier ist der Teil einer Iptables Config:
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.3 -d 0/0 -j MASQUERADE
/sbin/iptables -A INPUT -m state --state NEW -s 192.168.0.3 -j RULE_1
/sbin/iptables -A FORWARD -m state --state NEW -s 192.168.0.3 -j RULE_1
Und zusätzlich gebe ich in der Shell folgende Zeile ein um den Port 80 auf 3128 umzuleiten:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
Villeciht kann mir jetzt jemnd sagen was ich Falsch gemacht habe
Danke im Voraus
Raoul Thill
Hi,
acl passwd proxy_auth REQUIRED
http_access allow passwd all
authenticate_program /usr/lib/squid/pam_auth
authenticate_children 2
acl password proxy_auth REQUIRED
auskommentieren (# voran stellen)
und bei der Zeile
http_access allow localnet password
Das password hinten wegnehmen.
Linux Anleitungen und Berichte: http://www.stevesweb.de
Ja, das ist in Ordnung, doch jetzt macht er keine Authentication mehr, die soll jedoch bestehen bleiben !
Danke aber für diesen Tip.
Raoul
Vielleicht irre ich mich jetzt, aber wie soll der Browser beim transparenten Proxy "wissen", daß es da was zum Authentifizieren geben könnte (anderes Protokoll)? Das ist genauso wie SSL verschlüsselte Seiten. Die funktionieren auch nicht über einen transparenten Proxy.
Sandal
Hi,
ähhh..Moment. In deinem ersten Posting hast du geschrieben, dass bei jedem Aufruf eine Passwortabfrage kommt. Das ist Squid-Authentication. Was soll denn jetzt bleiben und was nicht ??Original geschrieben von rthill
Ja, das ist in Ordnung, doch jetzt macht er keine Authentication mehr, die soll jedoch bestehen bleiben !
Raoul
Linux Anleitungen und Berichte: http://www.stevesweb.de
Also es muss eine Passwort Abfrage bleiben für mein "localnet" !
Sorry dass ich mich villeicht nicht klar genug ausgedrückt habe
Hi,
verstehe so langsam. Du willst also nicht den Proxy deinem Browser bekannt machen, sondern lenkst alle Zugriffe auf Port 80 auf 3128 weiter.
Leider habe ich da nicht keine großartigen Kenntnisse, aber scheinbar geht es ja nicht. Was spricht denn gegen die Proxy-Eintragung ?
Linux Anleitungen und Berichte: http://www.stevesweb.de
Was ich machen will ist dass jederman Zugriff auf allmöglichen Dienste hat, sprich FTP, Telnet, SSH etc.. doch unmöglich Zugriff auf HTTP hat, ausser er hat sich Authentifiziert mit seiner Kennung und Passwort. Doch um nicht jedes Mal bei einem Neuen PC den Proxy Eintrag zu machen wäre es einfach besser alles mit einem Iptables Eintrag zu regeln, wo einfach der Port 80 auf Port 3128 umgeleitet wird und so automatisch seine Kennung und Passwort eingeben muss.
Und was wäre wenn ich den Port umleiten würde von 80 auf 3128 und zusätzlich wäre der Proxy im Browser eingetragen, würden da keine Probleme entstehen, ich kann es nämlich zur Zeit nicht ausprobieren, ich muss warten bis Morgen.
Oder kann ich irgendwie den Port 80 blocken ?
Bis dann
Raoul
Berechtigungen
Zitieren
Lesezeichen