squid3 -TCP_Denied/407

0

1

Добрый день. Ситуация следующая: squid 3.1.20 + ntlm аунтефикация пускает пользователей в интернет, squidGuard + ldapsearch замечательно фильтруют интернет контент на основе групп в AD. но есть один момент, который не позволяет запустить в боевой режим эту связку. squid не пускает office 2013 в облако. в access.log показывается следующие:

1405939794.775      0 172.18.2.34 TCP_DENIED/407 3928 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.791      0 172.18.2.34 TCP_DENIED/407 4288 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.807      0 172.18.2.34 TCP_DENIED/407 4214 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.830      0 172.18.2.34 TCP_DENIED/407 3953 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-2010.crl - NONE/- text/html [Cache-Co$
1405939794.846      0 172.18.2.34 TCP_DENIED/407 4313 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-2010.crl - NONE/- text/html [Cache-Co$
1405939794.861      0 172.18.2.34 TCP_DENIED/407 4239 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-2010.crl - NONE/- text/html [Cache-Co$
1405939794.884      0 172.18.2.34 TCP_DENIED/407 3901 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939794.900      0 172.18.2.34 TCP_DENIED/407 4261 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939794.916      0 172.18.2.34 TCP_DENIED/407 4191 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939795.159      0 172.18.2.34 TCP_DENIED/407 3734 CONNECT ssl.google-analytics.com:443 - NONE/- text/html [Host: ssl.google-analytics.com\r\nProxy-Conne$
1405939795.179      0 172.18.2.34 TCP_DENIED/407 4094 CONNECT ssl.google-analytics.com:443 - NONE/- text/html [Host: ssl.google-analytics.com\r\nProxy-Conne$

в cache.log следущие

got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1

в интернетах находил, что стоит пересобирать самбу и править ntlmssp. Если другой не столь кардинальный сбособ дать доступ офису в облако? в самом сквиде все ip облачных сервисов прописаны, в сквидгарде есть отдельный блок для офиса облачном, в котором все domains и urls облачных сервисов прописаны, это все не дает желаемого эффекта. Прошу вашей помощи

Ссылка

←

tc+qfq

TigerVNC-server Centos 6.5 !! Не возможно подключиться в завершенный сеанс (висит vnc config)

→

ну так и пускай всё к .microsoft.com до авторизации

сперва

http_access allow microsoft_updates all

а ниже её уже твоя

http_access allow ntlmauth

Сквид сработает на первом правиле только для обновлений мелкософт для любого клиента (или для выбранного) без авторизации, всё остальное пойдёт по NTLM

anonymous
(21.07.14 23:54:02 MSK)

Ответ на: комментарий от anonymous 21.07.14 23:54:02 MSK

спасибо попробую!

Ninjatrasher
(22.07.14 09:06:30 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 21.07.14 23:54:02 MSK

к сожалению, не помогло. офис 2013 при старте как запрашивает авторизацию при подключении к officeimg.vo.msecnd.net так и запрашивает. скорей всего это баг именно офиса 2013, что в целом очень прискорбно.

Ninjatrasher
(22.07.14 10:49:28 MSK) автор топика

Ответ на: комментарий от Ninjatrasher 22.07.14 10:49:28 MSK

msecnd.net

Ты его не вписал в правила, вот и просит авторизацию.

И вдогонку: не показывай что и как ты сделал, мы любим угадывать.

~~sdio~~ ★★★★★
(22.07.14 10:52:18 MSK)

Ответ на: комментарий от sdio 22.07.14 10:52:18 MSK

сорри) просто конфиг сквида большой, выложу кусок

dns_v4_first on
acl office2013 dst .mscend.net
http_access allow office2013 all

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp 
auth_param ntlm children 300
auth_param ntlm keep_alive off 

#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic 
#auth_param basic children 5 
#auth_param basic realm S-MSK00-GDC01.YLRUS.COM 
#auth_param basic credentialsttl 2 hours 


####Access Controll lists definitions###################
acl office365 dst 65.54.54.128/25
acl offcie365 dst 134.170.0.0/16
acl office365 dst 65.55.121.128/27
acl office365 dst 65.55.127.0/24
acl office365 dst 111.221.23.0/25
acl office365 dst 111.221.76.96/27
acl office365 dst 111.221.76.128/25
acl office365 dst 111.221.77.0/26
acl office365 dst 157.55.40.128/25
acl office365 dst 157.55.46.0/27
acl office365 dst 157.55.46.64/26
acl office365 dst 157.55.104.96/27
acl office365 dst 157.55.229.128/27
acl office365 dst 157.55.232.128/26
acl office365 dst 157.55.238.0/25
acl office365 dst 207.46.5.0/24
acl office365 dst 207.46.7.128/27
acl office365 dst 207.46.57.0/25
acl office365 dst 65.54.62.0/25
acl office365 dst 65.55.39.128/25
acl office365 dst 65.55.78.128/25
acl office365 dst 65.55.94.0/25
acl office365 dst 65.55.113.64/26
acl office365 dst 65.55.126.0/25
acl office365 dst 65.55.174.0/25
acl office365 dst 65.55.181.128/25
acl office365 dst 65.55.121.128/27
acl office365 dst 70.37.151.128/25
acl office365 dst 94.245.117.128/25
acl office365 dst 111.221.23.128/25
acl office365 dst 111.221.66.0/25
acl office365 dst 111.221.69.128/25
acl office365 dst 111.221.112.0/21
acl office365 dst 157.55.9.128/25
acl office365 dst 157.55.11.0/25
acl office365 dst 157.55.47.0/24
acl office365 dst 157.55.49.0/24
acl office365 dst 157.55.61.0/24
acl office365 dst 157.55.157.128/25
acl office365 dst 157.55.224.128/25
acl office365 dst 157.55.225.0/25
acl office365 dst 207.46.4.128/25
acl office365 dst 207.46.58.128/25
acl office365 dst 207.46.198.0/25
acl office365 dst 207.46.203.128/26
acl office365 dst 213.199.174.0/25
acl office365 dst 213.199.177.0/26
acl office365 dst 65.52.148.27
acl office365 dst 65.52.184.75
acl office365 dst 65.52.196.64
acl office365 dst 65.52.208.73
acl office365 dst 65.52.240.233
acl office365 dst 65.54.54.32/27
acl office365 dst 65.54.55.201
acl office365 dst 65.54.74.0/23
acl office365 dst 65.54.80.0/20
acl office365 dst 65.54.165.0/25
acl office365 dst 65.55.86.0/23
acl office365 dst 65.55.233.0/27
acl office365 dst 65.55.239.168
acl office365 dst 70.37.97.234
acl office365 dst 70.37.128.0/23
acl office365 dst 70.37.142.0/23
acl office365 dst 70.37.159.0/24
acl office365 dst 94.245.68.0/22
acl office365 dst 94.245.82.0/23
acl office365 dst 94.245.84.0/24
acl office365 dst 94.245.86.0/24
acl office365 dst 94.245.117.53
acl office365 dst 94.245.108.85
acl office365 dst 111.221.24.0/21
acl office365 dst 111.221.70.0/25
acl office365 dst 111.221.71.0/25
acl office365 dst 111.221.111.196
acl office365 dst 111.221.127.112/28
acl office365 dst 157.55.59.128/25
acl office365 dst 157.55.130.0/25
acl office365 dst 157.55.145.0/25
acl office365 dst 157.55.155.0/25
acl office365 dst 157.55.185.100
acl office365 dst 157.55.194.46
acl office365 dst 157.55.227.192/26
acl office365 dst 157.56.151.0/25
acl office365 dst 157.56.200.0/23
acl office365 dst 157.56.236.0/22
acl office365 dst 191.234.6.0/24
acl office365 dst 207.46.216.54
acl office365 dst 207.46.57.128/25
acl office365 dst 207.46.70.0/24
acl office365 dst 207.46.73.250
acl office365 dst 207.46.206.0/23
acl office365 dst 213.199.148.0/23
acl office365 dst 213.199.182.128/25
acl office365 dst 65.55.150.61
acl office365 dst 65.55.150.158
acl office365 dst 65.55.150.160
acl office365 dst 207.46.14.52
acl office365 dst 207.46.14.62
acl office365 dst 207.46.14.63
acl office365 dst officeimg.vo.msecnd.net
acl office365 dst office.microsoft.com
acl office365 dst odc.officeapps.live.com
acl lync2013  dstdomain  .ru.yusen-logistics.com
acl lync2013  dstdomain  .microsoftonline.com
acl lync2013  dstdomain .microsoftonline-p.com
acl lync2013  dstdomain .onmicrosoft.com
acl lync2013  dstdomain .officecdn.microsoft.com
acl lync2013  dstdomain .sharepoint.com
acl lync2013  dstdomain .outlook.com
acl lync dstdomain  .lyncdiscoverinternal.ylrus.com
acl lync dstdomain  .lyncdiscoverinternal.ru.yusen-logistics.com
acl lync dstdomain  .lyncdiscover.ru.yusen-logistics.com
acl lync dstdomain  .lyncdiscover.ylrus.com
acl lync dstdomain .poolname-webint-ylrus.com 
acl lync dstdomain .hostname.ylrus.com 
acl lync dstdomain .owa.ylrus.com 
acl lync dstdomain .autodiscover.ylrus.com 
acl lync dstdomain .meet.ylrus.com
acl lync dstdomain .dialin.ylrus.com
acl lync2013  dstdomain ev-secure.verisign.com
acl lync2013  dstdomain evsecure-ocsp.verisign.com
acl lync2013  dstdomain evsecure-aia.verisign.com
acl lync2013  dstdomain evsecure-crl.verisign.com
acl office365 dst sipfed.online.lync.com
acl lync dstdomain .lync.com
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl intranet dst 172.18.1.0/24
acl intranet dst 172.18.2.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http 
acl Safe_ports port 21 # ftp 
acl Safe_ports port 443 # https 
acl Safe_ports port 70 # gopher 
acl Safe_ports port 210 # wais 
acl Safe_ports port 1025-65535 # unregistered ports 
acl Safe_ports port 280 # http-mgmt 
acl Safe_ports port 488 # gss-http 
acl Safe_ports port 591 # filemaker 
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl DHCP src 172.18.1.0/24 # ip adresses 
acl password proxy_auth REQUIRED
acl ntlm     proxy_auth REQUIRED
acl AuthorizedUsers proxy_auth REQUIRED
#acl YLRUS srcdomain ylrus.com 

##############Authorization list#################
http_access allow CONNECT !SSL_ports
http_access allow CONNECT SSL_ports ntlm
http_access allow CONNECT AuthorizedUsers
http_access allow password
http_access allow localhost
http_access allow intranet
http_access allow lync
http_access allow office365
http_access allow DHCP
http_access allow Safe_ports
http_access allow lync2013
always_direct allow lync2013
always_direct allow lync
http_access deny all

############# Proxy Port ################ 
#visible_hostname vs-msk00-prx04.ylrus.com
http_port 3128
#http_port 3128 transparent
#wccp2_router 172.18.1.1
#wccp2_forwarding_method gre
#wccp2_return_method gre
#http_port 3128
#http_port  3127 intercept
#wccp_address 172.18.1.49:3128
#wccp2_router 172.18.1.1
#wccp2_forwarding_method 2
#wccp2_return_method 2
#wccp2_assignment_method hash
#wccp2_service standard 0 
#password=cisco

####### DONT cache the following URL’s### 

hierarchy_stoplist cgi-bin ? 

############ Where to find the log files ######### 

access_log /var/log/squid3/access.log 
refresh_pattern ^ftp: 1440 20% 10080 
refresh_pattern ^gopher: 1440 0% 1440 
refresh_pattern (cgi-bin|\?) 0 0% 0 
refresh_pattern . 0 20% 4320
log_mime_hdrs on 
append_domain .ylrus.com 


########### Cache directory #################### 
#coredump_dir /var/spool/squid3 
#cache_dir null 
#cache_effective_user proxy 
#cache_effective_user proxy
#cache_effective_group proxy 
#cache_effective_group proxy
#cache_mgr itsupport@ru.yusen-logistics.com 
#store_avg_object_size 5 GB 
#cachemgr_passwd cachemgr all 
#cache_mem 1536 MB 
#maximum_object_size_in_memory 128 KB 
#maximum_object_size 512 KB
#memory_replacement_policy heap GDSF



###### Dont cache these pages ############ 


acl DYNAMIC_CONTENT urlpath_regex cgi-bin \.cgi \.pl \.php3 \.asp \.php
no_cache deny DYNAMIC_CONTENT 


########## Use SquidGuard as a redirection programme ### 
url_rewrite_access allow all
redirector_bypass off 
url_rewrite_program /usr/bin/squidGuard -c /etc/squidguard/squidGuard.conf 
url_rewrite_children 200
#url_rewrite_concurrency 0
#url_rewrite_host_header on
#redirect_program /usr/local/bin/squidGuard -c /etc/squidguard/squidGuard.conf
#redirect_program /usr/bin/squidGuard -c /media/squid/squidguard-conf/squidGuard.conf

Ninjatrasher
(22.07.14 11:38:24 MSK) автор топика

Ответ на: комментарий от Ninjatrasher 22.07.14 11:38:24 MSK

acl office2013 dst .mscend.net

acl office2013 dstdomain .mscend.net

~~sdio~~ ★★★★★
(22.07.14 11:51:47 MSK)

Ответ на: комментарий от sdio 22.07.14 11:51:47 MSK

мдаа.... век живи век учись... век читай про сквида ) спасибо все помогло, все, что нужно было пустить без авторизации закинул на самый верх конфига, перед авторизацией и заработало.

Ninjatrasher
(22.07.14 12:11:29 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

tc+qfq

Admin

TigerVNC-server Centos 6.5 !! Не возможно подключиться в завершенный сеанс (висит vnc config)

→

Похожие темы