Кто как настраивал авторизацию в прокси?

Аватар пользователя ordereat

В Webminе выбрал
Basic authentication program - Webmin
Остальное не трогал
Появилась иконка "Аутентификация прокси" Забил там пользователя.
Перезагрузил
Но авторизация как таковая так и не появилось, в том смысле, что нет приглашения ввести пароль/логин, когда залезаю в инет с локалки через IE.
Сканирую Xspiderom - говорит что надо "Закрыть доступ к этому сервису для неавторизованных пользователей". Уязвимость т.с.

По мне и хрен бы с ней с этой авторизацией, главное уязвимость эту закрыть т.е."Возможность использования этого сервиса посторонними пользователями в качестве http прокси сервера".

Аватар пользователя sergeil

Re: Кто как настраивал авторизацию в прокси?

Цитата:
ordereat пишет:
В Webminе выбрал
Basic authentication program ...
...

/etc/squid/squid.conf
...
# =SL=
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/password.squid
# =SL=
...
#acl password proxy_auth REQUIRED
# =SL=
acl password proxy_auth REQUIRED
#
...
# =SL=
acl localnet src 192.168.100.0/255.255.255.0
acl localnet1 src 192.168.101.0/255.255.255.0
#
...
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
# =SL=
http_access allow localnet password
http_access allow localnet1
#
...
# And finally deny all other access to this proxy
http_access allow localhost
http_access deny all
...
===============================================
Теперь из первой LAN возможен доступ по паролю...
Из второй LAN возможен без пароля...
А больше никому нельзя...

Пароли:
[root@mail squid]# touch /etc/squid/password.squid
[root@mail squid]# chmod 600 /etc/squid/password.squid
[root@mail squid]# chown squid /etc/squid/password.squid

[root@mail squid]# mkpasswd
zw2Ctu_3N
htpasswd -b /etc/squid/password.squid sergeil 'zw2Ctu_3N'
Первому пользователю отдаем:
login: sergeil
passwd: zw2Ctu_3N

[root@mail squid]# mkpasswd
eDi83nOh_
htpasswd -b /etc/squid/password.squid anton 'eDi83nOh_'
Второму пользователю отдаем:
login: anton
passwd: eDi83nOh_
...
Перестартуем SQUID и попробуем...
Катается от смеха

Надеюсь, ничего не забыл...

Аватар пользователя ordereat

Re: Кто как настраивал авторизацию в прокси?

Пожалуй я пропишусь у Вас на форуме. Все получилось. Спасибо.
:friends:

Аватар пользователя DRVTiny

Re: Кто как настраивал авторизацию в прокси?

А на прозрачном прокси авторизацию организовать нельзя, как я понимаю?

Аватар пользователя sergeil

Re: Кто как настраивал авторизацию в прокси?

Цитата:
DRVTiny пишет:
А на прозрачном прокси авторизацию организовать нельзя, как я понимаю?

нельзя

Аватар пользователя sergeil

Re: Кто как настраивал авторизацию в прокси?

Цитата:
ordereat пишет:
Пожалуй я пропишусь у Вас на форуме. Все получилось. Спасибо.
:friends:

Катается от смеха

Там есть еще вкусности по фильтрации URL. Например, можна заблокировать все, кроме конкретных сайтов. Если в LAN нет централизованного сервера обновлений, то создадим белый список и там прошишем сайты, с которых можно обновлятся тем, у кого нет доступа в internet...

Можна порезать банеры или просто ресурсы, которые Вам не нравятся и Вы не хотите, что-бы пользователи там бывали...

# Squid Blocks
# http://www.hklc.com/squidblock/
#
acl squid_block_badlang url_regex -i "/etc/squid/squidblock/badlang.block.txt"
acl squid_unblock_badlang url_regex -i "/etc/squid/squidblock/badlang.unblock.txt"
acl squid_block_entertain url_regex -i "/etc/squid/squidblock/entertain.block.txt"
acl squid_unblock_entertain url_regex -i "/etc/squid/squidblock/entertain.unblock.txt"
acl squid_block_games url_regex -i "/etc/squid/squidblock/games.block.txt"
acl squid_unblock_games url_regex -i "/etc/squid/squidblock/games.unblock.txt"
acl squid_block_pirate url_regex -i "/etc/squid/squidblock/pirate.block.txt"
acl squid_block_mp3 url_regex -i "/etc/squid/squidblock/mp3.block.txt"
acl squid_unblock_pirate url_regex -i "/etc/squid/squidblock/pirate.unblock.txt"
acl squid_block_porn url_regex -i "/etc/squid/squidblock/porn.block.txt pron.block.txt"
acl squid_unblock_porn url_regex -i "/etc/squid/squidblock/porn.unblock.txt"
#=SL
acl squid_block_banner url_regex -i "/etc/squid/squidblock/banner.block.txt"
acl squid_unblock_banner url_regex -i "/etc/squid/squidblock/banner.unblock.txt"
acl squid_block_local url_regex -i "/etc/squid/squidblock/local.block.txt"
acl squid_grant_url url_regex -i "/etc/squid/squidblock/grant.url.txt"
#=SL

# Deny:
# Bad language or bad teste sites -
http_access deny squid_block_badlang !squid_unblock_badlang
# Entertainment sites or chat, news -
http_access deny squid_block_entertain !squid_unblock_entertain
# Online Games or Game sites -
http_access deny squid_block_games !squid_unblock_games
# Pirated Software -
http_access deny squid_block_pirate !squid_unblock_pirate
# Pirated Music -
http_access deny squid_block_mp3
# Pornographic -
http_access deny squid_block_porn !squid_unblock_porn
# =SL= Banners
http_access deny squid_block_banner !squid_unblock_banner
# =SL= Locally Blocked URL (spy, etc, ...)
http_access deny squid_block_local

...
# Разрешаем LAN без пароля ресурсы, перечисленные здесь.
http_access allow lan squid_grant_url
http_access allow lan password

---

Вроде, ничего важного по теме не забыл... Да, кстати
[sergeil@mail squid]$ cat /etc/squid/squidblock/grant.url.txt

.windowsupdate.
www.antivir.ru
.drweb.
Аватар пользователя DRVTiny

Re: Кто как настраивал авторизацию в прокси?

Цитата:
нельзя

Жаль. Недоработка, однако...

Аватар пользователя DRVTiny

Re: Кто как настраивал авторизацию в прокси?

Цитата:
Можна порезать банеры или просто ресурсы, которые Вам не нравятся и Вы не хотите, что-бы пользователи там бывали

Ну да, и для каждого добавления/удаления такого ресурса лезть в эти подключаемые блок-листы по 10-ку килобайт каждый. Во удовольствие-то! Опять же, блоклисты у Вас явно на англоязычный сектор инета рассчитаны, что по эффективности - как мёртвому припарки. И непонятно, как Вы в принципе собираетесь резать баннеры исключительно по URL. Те, кто зарабатывает себе на хлеб с икрой этой самой баннерной рекламой, не такие уж и остолопы, как Вы о них думаете...

Аватар пользователя sergeil

Re: Кто как настраивал авторизацию в прокси?

Цитата:
DRVTiny пишет:

Цитата:
Можна порезать банеры или просто ресурсы, которые Вам не нравятся и Вы не хотите, что-бы пользователи там бывали

Ну да, и для каждого добавления/удаления такого ресурса лезть в эти подключаемые блок-листы по 10-ку килобайт каждый. Во удовольствие-то!

Последний раз я лазил туда месяц назад. У меня нет необходимости тонкой нарезки. В случае плохого поведения пользователь просто лишается доступа в интернет...

Цитата:
Опять же, блоклисты у Вас явно на англоязычный сектор инета рассчитаны, что по эффективности - как мёртвому припарки.

У меня есть локальный блоклист...

Цитата:
И непонятно, как Вы в принципе собираетесь резать баннеры исключительно по URL. Те, кто зарабатывает себе на хлеб с икрой этой самой баннерной рекламой, не такие уж и остолопы, как Вы о них думаете...

Я не ставлю перед собой задачу качественной вырезки баннеров.

Аватар пользователя DRVTiny

Re: Кто как настраивал авторизацию в прокси?

Цитата:
В случае плохого поведения пользователь просто лишается доступа в интернет...

Я Вам об одном, а Вы мне совсем про другое. Я говорю о том, что рекламу со страниц надо удалять начисто, т.е. так, чтобы пользователь получал из Интернет полезную для себя информацию, а не сплошной поток спама, слегка разбавленного чем-то более-менее содержательным. Вы только представьте себе, какую часть объёма веб-страницы составляет любая внедрённая в неё графика! А теперь подумайте, как изменится это и без того слишком неравное соотношение, если графика станет анимированной, да плюс ещё при загрузке страницы повылезают окна, в которых НЕЧТО будет отчаянно мигать и переливаться...Так вот и получается,что практически любой веб-контент минимум на 70% состоит из отходов жизнедеятельности везде-сующих-свой-грязный-нос маркетологов. А это как раз тот самый трафик, за превышение которого Вы бедных сотрудников своей организации от инета безжалостно отрубаете... Образно выражаясь, Вы жертвуете их интересами ради блага аморальных людей (рекламодателей), делающих "потребительский инстинкт" предметом своеобразной формы фетишизма.

Цитата:
Я не ставлю перед собой задачу качественной вырезки баннеров.

А зачем нужны половинчатые или даже "десятинчатые" решения? Мне кажется, что если уж что-то и делать, то делать до конца, а не ограничиваться "самоуспокоением", которое с практической точки зрения никакой пользы не приносит.

Аватар пользователя sergeil

Re: Кто как настраивал авторизацию в прокси?

Цитата:
DRVTiny пишет:
Я Вам об одном, а Вы мне совсем про другое. Я говорю о том, что рекламу со страниц надо удалять начисто, т.е. так, чтобы пользователь получал из Интернет полезную для себя информацию, а не сплошной поток спама, слегка разбавленного чем-то более-менее содержательным.

20% инвестиций дают 80% прибыли, а 80% - только 20%.
Я считаю достаточным инвестировать в это только 20% необходимых усилий и времени.

Цитата:
А это как раз тот самый трафик, за превышение которого Вы бедных сотрудников своей организации от инета безжалостно отрубаете...

Я отрубаю за нарушения, а не за превышение...

Цитата:
Образно выражаясь, Вы жертвуете их интересами ради блага аморальных людей (рекламодателей), делающих "потребительский инстинкт" предметом своеобразной формы фетишизма.

Во загнул. Попытаюсь запомнить
Катается от смеха

Цитата:
А зачем нужны половинчатые или даже "десятинчатые" решения?

Нужны. Я это понял, играя в тетрис на 9-ом уровне...

Цитата:
Мне кажется, что если уж что-то и делать, то делать до конца, а не ограничиваться "самоуспокоением", которое с практической точки зрения никакой пользы не приносит.

Нет предела совершенсству. Процесс бесконечный и очень затратный... У меня есть еще чем заниматься...
Улыбка

PS: Мда, все-таки не заметил как ввязался в флейм...
DRVTiny, мы в offtopic... Перебираемся флеймить в курилку

Аватар пользователя ordereat

Re: Кто как настраивал авторизацию в прокси?

Цитата:
DRVTiny пишет:
В случае плохого поведения пользователь просто лишается доступа в интернет...

Я Вам об одном, а Вы мне совсем про другое. Я говорю о том, что рекламу со страниц надо удалять начисто, т.е. так, чтобы пользователь получал из Интернет полезную для себя информацию, а не сплошной поток спама, слегка разбавленного чем-то более-менее содержательным.

Так эта.. squidblock с файлами как раз для этого и служит
Например
в /etc/squid/squidblock/banners.txt пишем
/banner/
\.banner\.
/banners/
\.banners\.
banpics
us\.yimg\.com
[\./]ad[s]?[\./]
ad2\.rambler\.ru
/cgi-bin/banner
advert
adverts
banner\.linkexchange\.com
bs\.yandex\.ru/count/
hotlog\.ru/cgi-bin/hotlog/count
pics\.rbc\.ru/rbcmill/img/
top\.list\.ru/counter
spylog\.com/cn
top100-images\.rambler\.ru/top100/banner
counter\.rambler\.ru/top100\.cnt
ad*\.lbn\.ru/bb\.cgi
ad4\.bannerbank\.ru/bb\.cgi
webex\.ru/bn/tbe
^http://ad.bannerhost.ru/cgi-bin/*
^http://www.utro.ru/*/banners/*
^http://www.utro.ru/fashionbannerz*
^http://counter.yadro.ru/logo?*
и т.д.

А в /etc/squid/squid.conf
acl banners url_regex -i "/etc/squid/squidblock/banners.txt"
http_access deny banners

Можно зарезать все и вся.

Аватар пользователя sergeil

Re: Кто как настраивал авторизацию в прокси?

ordereat писал(а):
в /etc/squid/squidblock/banners.txt пишем

...
counter.yadro.ru

Только что зарезал. А то сайт тормозит...
Катается от смеха

Аватар пользователя ordereat

Re: Кто как настраивал авторизацию в прокси?

Вопрос до кучи.
Почему авторизация отсутствует, если нажимаешь ссылку, которая имеет target="_blank"? Ведь ресурс открывается в новом окне и по идее должна быть авторизация?
В принципе - не важно, просто интересно.

Аватар пользователя sergeil

Re: Кто как настраивал авторизацию в прокси?

Цитата:
ordereat пишет:
Вопрос до кучи.
Почему авторизация отсутствует, если нажимаешь ссылку, которая имеет target="_blank"? Ведь ресурс открывается в новом окне и по идее должна быть авторизация?
В принципе - не важно, просто интересно.

Принимает ли участие в этом PROXY? Думаю, что нет. Иначе Вы не смогли-бы запустить бровзер.
Веть при открытии бровзера тоже что-то загружается в окно. Я думаю, это загружается _blank.

Но это IMHO

Аватар пользователя Han

Re: Кто как настраивал авторизацию в прокси?

Народ, я вот тут почитал, про резку банеров, счётчиков и т.п.
Может уже и не к месту, и не ко времени, но положу на общий алтарь свои 10 копеек. Улыбка
я уже пару лет использую редиректор - rejik (http://rejik.ru) Очень удобная вещь. Попробуйте, может понравится.
А теперь касательно самой темы авторизации в прокси.
я использую модуль pam_auth
при авторизации используется системный пароль пользователя.
при этом acl -ми задается список пользователей, которым разрешён доступ в инет и там же подключаются списки разрешённых/запрещенных сайтов.
схема работает без проблем уже который год.

Аватар пользователя sergeil

Re: Кто как настраивал авторизацию в прокси?

Han писал(а):
я использую модуль pam_auth

Я использую
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/password.squid
Пароли пользователей независимы от системных паролей... SQUID незачем рыскать по системе.
IMHO, нужно будет подумать как засунуть его в chroot

Аватар пользователя wildsin

Re: Кто как настраивал авторизацию в прокси?

sergeil писал(а):
Я использую
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/password.squid
Пароли пользователей независимы от системных паролей... SQUID незачем рыскать по системе.

много лет smb_auth с авторизацией в домене W2K Улыбка столько же лет squidGuard в виде расширенного ACL, редиректора, разделения ресурсов по времени, имени и/или IP пользователя. все это на старом BlackCat 6.2 вручную поднятом сначала до ASP 7.1, потом до ASP 7.3.......
на втором сервере pam_auth на ASP 10 потому, что лень на каждого пользователя заводить два пароля... один на squid и второй на почту. пусть демоны шарятся по shadow Улыбка

sergeil писал(а):
IMHO, нужно будет подумать как засунуть его в chroot

а в чем высший смысл? смеха ради посадил named в chroot... но это ладно, named все таки в инет рожей смотрит... а сквида зачем? iptables снаружи и так пускает только на 22, 25, 80, 110, 443 tcp и 53 tcp/udp...

Аватар пользователя sergeil

Re: Кто как настраивал авторизацию в прокси?

wildsin писал(а):
а в чем высший смысл? смеха ради посадил named в chroot... но это ладно, named все таки в инет рожей смотрит... а сквида зачем? iptables снаружи и так пускает только на 22, 25, 80, 110, 443 tcp и 53 tcp/udp...

Ого сколько публичных сервисов...: SSH, SMTP, WWW, POP3, DNS
:-o

Аватар пользователя wildsin

Re: Кто как настраивал авторизацию в прокси?

sergeil писал(а):
Ого сколько публичных сервисов...: SSH, SMTP, WWW, POP3, DNS

а шо делать Улыбка
ssh - нужен лично мне по понятным причинам...
(PermitRootLogin no)
smtp - четыре почтовых домена, вход на сендмайл таки нужен...
(8.13.6, желающим отдам src.rpm для ASP 7.3)
dns - те же четыре почтовых домена надо МХ-ить в мир...
www - ну можно конечно и снести, но особо жить не мешает...
pop3 - несколько человек в командировках используют буки с мобилами для почты...

RSS-материал