Сообщения Ninjatrasher

squid kerberos авторизация,Unspecified GSS failure

Добрый день.

На виртуальной машине стоит сквид, была авторизация по керберосу, все работало хорошо, но сегодня каким то образом все сломалось.

В cache.log пишется:

ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_acquire_cred() failed: Unspecified GSS failure.  Minor code may provide more information. ; }}

пересоздал на сервере кейтаб, проверил на машине


root@vs-nvo01-prx01:/usr/local/squid/var/logs# kinit -V -k -t /etc/squid.keytab  HTTP/prx01.domain.com@domain.COM
Using default cache: /tmp/krb5cc_0
Using principal: HTTP/vs-nvo01-prx01.domain.com@domain.COM
Using keytab: /etc/squid.keytab
Authenticated to Kerberos v5

Конфиг сквида не менял, вот кусок, где описана авторизация:

auth_param negotiate program /usr/local/squid/libexec/squid_kerb_auth -s HTTP/prx01.domain.com@DOMAIN.COM
auth_param negotiate children 70
auth_param negotiate keep_alive on

Вот часть krb5.conf

[libdefaults]

default_realm = YLRUS.COM
ticket_lifetieme = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_timesync = 1
ccache_type = 4
forwardable = yes
rdns = no
# proxiable = true
default_keytab_name = /etc/squid.keytab
default_tgs_enctypes = rc4-hmac aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
default_tkt_enctypes = rc4-hmac aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
permitted_enctypes = rc4-hmac aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96
clock_skew = 300

[realms]

YLRUS.COM = {
kdc = S-MSK00-GDC01.YLRUS.COM
kdc = S-NVO01-DC01.YLRUS.COM
admin_server = S-MSK00-GDC01.YLRUS.COM
admin_server = S-NVO01-DC01.YLRUS.COM
default_domain = YLRUS.COM
}

[domain_realm]

.ylrus.com = YLRUS.COM
ylrus.com = YLRUS.COM

так же вот описания скрипта, который запускает сквид

NAME=squid3
DESC="Squid HTTP Proxy 3.x"
KBR5_KTNAME=/etc/squid.keytab
export KRB5_KTNAME
DAEMON=/usr/local/squid/sbin/squid
PIDFILE=/var/run/$NAME.pid
CONFIG=/usr/local/squid/etc/squid.conf

Подскажи в чем может быть дело, куда копать?

kerberos, squid

Ninjatrasher
(09.04.15 15:45:32 MSK)

12 комментариев

squid и java script

Добрый день!

В филиале, есть виртуальная машина на Hyper-V, на ней Debian 7

Развернут сквид

Squid Cache: Version 3.5.2
Service Name: squid

Авторизация через керберос. Все замечательно работает. Но есть один интранетовский сайт, на котором java скрипты. В конфиге Сквида все что идет в интранет пропускает без авторизации. Пользователи без проблем заходят на этот сайт, но Java скрипты на нем не работают.

В других филиалах, так же есть виртуальные машины со сквидом, точно такой же версии, с точно таким же конфигом, но java скрипты на интранетовском сайте работают.

Подскажи пожалуйста, в чем может проблема?

java, squid

Ninjatrasher
(06.03.15 17:19:24 MSK)

7 комментариев

squid3 CPU usage

Добрый день!

Прошу вашей помощи, разобраться из-за чего squid3 может забивать на себя почти всю мощность CPU. Посмотрел через top, вот что выдало:

  PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND
12392 proxy     20   0  562m 484m 4652 S   5.6 12.2  54:59.79 squid
12594 root      20   0 23276 1596 1128 R   0.7  0.0   0:00.36 top
    1 root      20   0 10648  824  692 S   0.3  0.0   1:12.92 init

версия сквида

root@vs-msk00-prx05:/home/manage# /usr/local/squid/sbin/squid -v
Squid Cache: Version 3.4.7

в самом сквиде используется керберос аунтефикация

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth   -s HTTP/vs-msk00-prx05.ylrus.com@YLRUS.COM
auth_param negotiate children 70
auth_param negotiate keep_alive on

если выставляю negotiat children 20, то в один момент сквид в логах пишет что все хелперы заняты. всего пользователей около 35.

Прошу вашей помощи.

squid

Ninjatrasher
(16.01.15 13:11:10 MSK)

13 комментариев

squid 3.4.8 + kerberos запрашивает логин \ пароль

Добрый день.Настраиваю очередной сквид с керберос аунтефикацией на сервере в филиале. Собрал и установил сквид 3.4.8. На контроллере домена сделал учетную запись HTTP/vs-shr01-prx01.domain.com, для нее сделал keytab. vs-shr01-prx01 пингуется по полному и по короткому имени, запись А в DNS есть. На машине, где стоит сквид настроил кrb5.conf, проверил kinit domainuser проходит без ошибок. Перенес keytab на машину со сквидом.

Дал права на keytab:

chown proxy:proxy /etc/proxy.keytab
chmod 664 /etc/proxy.keytab

Далее проверяю:

root@vs-shr01-prx01:/home/manage# kinit -V -k -t /etc/proxy.keytab HTTP/vs-shr01-prx01.domain.com@DOMAIN.COM
Using default cache: /tmp/krb5cc_0
Using principal: HTTP/vs-shr01-prx01.domian.com@DOMAIN.COM
Using keytab: /etc/proxy.keytab
Authenticated to Kerberos v5

В самом сквиде прописал авторизацию:

auth_param negotiate program /usr/local/squid/libexec/squid_kerb_auth   -s HTTP/vs-shr01-prx01.domain.com@DOMAIN.COM
auth_param negotiate children 100
auth_param negotiate keep_alive on

Но при попытке через сквид выйти в интернет, выскакивает окно ввода логина и далее не пускает.

Ту же самую последовательность действий делал в головном офисе и все ок работает. подскажите где ошибся?

kerberos, squid

Ninjatrasher
(13.10.14 10:26:48 MSK)

2 комментария

керберос авторизация в squid 3.4.7

Добрый день! есть сквид версии 3.4.7 с керберос авторизацией пользователей. все работает замечательно, но заметил такую вещь: Сквид пишет в логи учетные данные пользователя лишь при попытке коннекта по https, а если идет запрос на обычный http, то сквид в access.log пишет только айпи.

вот кусок кода с acl и http_access, подскажи пожалуйста, где ошибка:

acl intranet dst 172.18.2.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl DHCP src 172.18.1.0/24 # ip adresses
#acl password proxy_auth REQUIRED
#acl ntlm     proxy_auth REQUIRED
#acl AuthorizedUsers proxy_auth REQUIRED
#acl YLRUS srcdomain domain.com

http_access allow CONNECT !SSL_ports
#http_access allow CONNECT SSL
#http_access allow CONNECT AuthorizedUsers
#http_access allow password
http_access allow localhost
http_access allow intranet
http_access allow DHCP
#http_access allow manager
#http_access allow manager localhost
http_access allow Safe_ports
http_access deny all

может стоить убрать строчки

acl DHCP src 172.18.1.0/24 # ip adresses 
http_access allow DHCP

и расскоментировать строчки

#acl AuthorizedUsers proxy_auth REQUIRED
#http_access allow CONNECT AuthorizedUsers

squid

Ninjatrasher
(18.09.14 17:28:34 MSK)

5 комментариев

squid не пропускает на сайт

Добрый день. Ситуация следующая, есть корпоративный портал по адресу web.hk.yusen-logistics.com/offintranet/ , на портале авторизация, если работать через сквид, то открывается окно авторизации, но после ввода логина и пароль ничего не происходит. Если работать без сквида, пускает дальше на портал. Squid Cache: Version 3.1.20, собран с керберос аунтефикацией. Решил вынести конект к этому портал перед аунтефикации

acl forwarding dstdomain .hk.yusen-logistics.com
http_access allow forwarding

толку ноль. Подскажите пожалуйста, в какую сторону смотреть, и как сделать ,что бы сквид пропускал на этот портал после ввода логина и пароля.

squid

Ninjatrasher
(08.09.14 16:10:42 MSK)

9 комментариев

squid + kerberos

Добрый день. Настроил в сквиде керберос аунтефикацию, но пользователей не пускает никуда, страницы очень долго грузяться. Версия сквида:

configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/tmp/buildd/squid3-3.1.20

Кусок конфига где идет креберос аунтефикация:

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d  -s HTTP/vs-msk00-prx05.ylrus.com@YLRUS.COM
auth_param negotiate children 20
auth_param negotiate keep_alive on

перед этим сделал кейтаб для пользователя HTTP/vs-msk00-prx05.ylrus.com@YLRUS.COM, дал на него права пользователю, от которого запускается сквид.

в cache.log сыпиться вот такое чудо:

2014/08/22 10:06:10| squid_kerb_auth: DEBUG: Got 'YR YIIHJQYGKwYBBQUCoIIHGTCCBxWgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYKKwYBBAGCNwICCqKCBt8Eggb
2014/08/22 10:06:10| squid_kerb_auth: DEBUG: Decode 'YIIHJQYGKwYBBQUCoIIHGTCCBxWgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYKKwYBBAGCNwICCqKCBt8Eggb$
2014/08/22 10:06:10| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIhvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWpoGf7r5dFaH$
2014/08/22 10:06:34| squid_kerb_auth: DEBUG: Got 'YR YIIHJQYGKwYBBQUCoIIHGTCCBxWgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYKKwYBBAGCNwICCqKCBt8Eggb$

в конце каждой строчки пишется, что

from squid (length: 2447).
(decoded length: 1833).

вот сам krb5.conf

[appdefaults]

pam = {

debug = false

alt_auth_map = %s

force_alt_auth = true

ticket_lifetime = 24h

renew_lifetime = 24h

forwardable = true

krb4_convert = false

}

[libdefaults]

default_realm = YLRUS.COM
ticket_lifetieme = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_timesync = 1
ccache_type = 4
forwardable = yes
rdns = no
# proxiable = true
default_keytab_name = /etc/proxy.keytab
default_tgs_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
default_tkt_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
permitted_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
clock_skew = 300

[realms]

YLRUS.COM = {
kdc = S-MSK00-GDC01.YLRUS.COM
kdc = S-MSK01-DC01.YLRUS.COM
admin_server = S-MSK00-GDC01.YLRUS.COM
admin_server = S-MSK00-GDC01.YLRUS.COM
default_domain = YLRUS.COM
}

[domain_realm]

.ylrus.com = YLRUS.COM
ylrus.com = YLRUS.COM

[logging]

default = FILE:/var/log/krb5lib.log

так же проверял кейтаб, пишет, что все работает.

kinit -V -k -t /etc/proxy.keytab HTTP/vs-msk00-prx05.ylrus.com
Using default cache: /tmp/krb5cc_0
Using principal: HTTP/vs-msk00-prx05.ylrus.com@YLRUS.COM
Using keytab: /etc/proxy.keytab
Authenticated to Kerberos v5

все клиента на windows7 64x, браузеры либо Ie8, либо Хром. пытался гуглить, но ничего путного на нашел по решению этой проблемы, кто-нибудь знает это как побороть?

kerberos, squid

Ninjatrasher
(22.08.14 10:20:25 MSK)

4 комментария

увелечение ntlm сессии squid

Добрый день. Вопрос в следующием, есть ли возможно увеличить продолжительность ntlm сессии в squid. Обьясню почему хочу сделать, при первой попытке коннекта к сквиду происходит авторазация через Ntlm путем передачи от клиента к сквиду 3х сообщений. Дальше сквид пропускает клиента в интернет. Но через какой то время это сессия рвется и заново начинается обмен сообщенями, что доставляет некий дискомфорт. Можно ли как нибудь увелить продолжительность сессии ntlm? сейчас авторизация выйглядит вот так:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20 startup=0 idle=1
auth_param ntlm keep_alive on

squid

Ninjatrasher
(18.08.14 11:15:06 MSK)

12 комментариев

squid.conf на сетевой шаре

Добрый день. Прошу помочь в следующих вопросах:

1. Есть машина на дебиан7, на которой примаплена шара, с squid.conf. Был сквид 3.1.20, в файле /etc/init.d/squid3 я указала путь до шары с файлом конфигурации и все работало. Сейчас переставил установил сквид версии 3.4.6, хотел проделать ту же операцию, но когда открыл фаил squid, то обнаружил что содержимое нечитаемо. Вопрос: как в сквиде 3.4.6 прописать путь до сетевой шары с файлом конфигурации сквида? 2. Как правильно рестартовать сквид 3.4.6? раньше я давал команду /etc/init.d/squid3 restart, сейчас при попытке такой же команды, в cache.log пишет, что сквид уже есть, приходиться убивать процес и заново стартовать сквид.

Ninjatrasher
(15.08.14 11:45:21 MSK)

10 комментариев

redirector for squid

Товарищи добрый день. Подскажите пожалуйста редиктор для сквида, с возможность поиска нужных пользователей в Ldap, но не сквидгард. Есть аналоги сквидгарда с возможность обрезки интернет контента основываясь на группах в AD?

Ninjatrasher
(11.08.14 17:14:44 MSK)

squid подтормаживает

Добрый день. Столкнулся с такой проблемой, сквид начал подтормаживать. Пользователей открывает сраницу, ждет около 1-2 минут, а иногда и дольше ,и только если он нажмет f5 или enter или откроет другую вкладку и там забьет адрес, только тогда сквид довольно шустро открывает страницу.

Машина на которой работает сквид - виртуалка, вот характеристики этой виртуалки:

Intel(R) Xeon(R) CPU E5-2640 0 @ 2.50GHz, 1 cores
RAM - 2Gb
Disk - 40gb

Аунтефикация NTLM.

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp 
auth_param ntlm children 300
auth_param ntlm keep_alive off

Кэширование в сквиде отключено. На данном этапе работают только 5 пользователей через сквид. Заметил, что cache.log забивается вот такими записями

got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1

Версия сквида:

Squid Cache: Version 3.1.20
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/tmp/buildd/squid3-3.1.20

На всех машинах, поставил через групповую политику Lan Manager authentication level : Send LM&NTLM - use NTLMv2 session security if possible. Записи все равно сыпяться и сквид поддтормаживает.Так же в этой связке еще присутствует сквидгард с запросами ldapusersearch.Такое чувство, что он долго резолвит имена.Подскажите, куда смотреть, из за чего может тормозить сквид?

proxy, squid, squidguard

Ninjatrasher
(06.08.14 15:47:06 MSK)

2 комментария

запуск скрипта sh через crontab

Добрый день, понимаю конечно, что вопрос может и дебильный, но никак не могу решить задачу по запуску скрипта через крон.

И так задача: нужно запускать каждое воскресенье в 0.00 скрипт restart_squid.sh в crontab из под root добавил следующие:

SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/


* 0 * * 0  /home/manage/restart_squid.sh

на скрипт сделал chmod +x вручную скрипт запускается, но через крон не работает.

решил проверить работает ли вообще крон сделал следующие

SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/


1 * * * *  echo IT WORKS!

и ничего не происходит, по идеи должно ведь каждую минуту выводиться сообщение IT WORKS , но ничего не происходит.

Подскажите пожалуйста, в чем моя ошибка?

cron, crontab

Ninjatrasher
(01.08.14 10:45:07 MSK)

37 комментариев

скрипт на обновления баз SquidGuard

Добрый день. Проблема в следующем, написал вот такой скрипт:

#!/bin/sh
#
cd /tmp

wget -Y on "http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist" -O blacklist.tar.gz

tar -zxf blacklist.tar.gz
cd blacklists
rsync -a . /media/share/blacklists/
/etc/init.d/squid3 stop
squidGuard -C all
chown -R proxy.proxy /var/lib/squidguard/db
/etc/init.d/squid start
rm -rf /tmp/blackl*

команда wget отрабатывает хорошо, скачивается архив, но потом выдается вот такая ошибка:

rsync: mknod "/media/share/backup-test/.winbindd/pipe" failed: Operation not permitted (1)
rsync error: some files/attrs were not transferred (see previous errors) (code 23) at main.c(1060) [sender=3.0.7]

/media/share/blacklists/ - это примапленная шара, расположенная на файловом сервере. из за чего может быть эта ошибка?

Ninjatrasher
(24.07.14 16:15:49 MSK)

права на winbindd_privileged

Добрый день. Использую связку samba + winbind + squid Подскажи пожалуйста, как при рестарте winbind, дать права на директорию winbindd_privileged автоматически? я изменил фаил /etc/init.d/winbind

case "$1" in
        start)
                log_daemon_msg "Starting the Winbind daemon" "winbind"
                mkdir -p /var/run/samba/winbindd_privileged || return 1
                chgrp proxy $PIDDIR/winbindd_privileged/ || return 1
                chmod 0750 $PIDDIR/winbindd_privileged/ || return 1
                start-stop-daemon --start --quiet --oknodo --exec $DAEMON -- $WINBINDD_OPTS

                log_end_msg $?
                ;;

        stop)

но не помогает, пытался вписать строчку:

chown -R root:proxy /$PIDDIR/winbindd_privileged/ || return 1

такой же результат. подскажи, что нужно вписать в /etc/init.d/winbind, что бы при рестарте на папку /var/run/samba/winbindd_privilege выдавались права группе proxy?

samba, winbind

Ninjatrasher
(22.07.14 15:57:33 MSK)

6 комментариев

squid3 -TCP_Denied/407

Добрый день. Ситуация следующая: squid 3.1.20 + ntlm аунтефикация пускает пользователей в интернет, squidGuard + ldapsearch замечательно фильтруют интернет контент на основе групп в AD. но есть один момент, который не позволяет запустить в боевой режим эту связку. squid не пускает office 2013 в облако. в access.log показывается следующие:

1405939794.775      0 172.18.2.34 TCP_DENIED/407 3928 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.791      0 172.18.2.34 TCP_DENIED/407 4288 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.807      0 172.18.2.34 TCP_DENIED/407 4214 GET http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl - NONE/- text/html [Cache-Control:$
1405939794.830      0 172.18.2.34 TCP_DENIED/407 3953 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-2010.crl - NONE/- text/html [Cache-Co$
1405939794.846      0 172.18.2.34 TCP_DENIED/407 4313 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-2010.crl - NONE/- text/html [Cache-Co$
1405939794.861      0 172.18.2.34 TCP_DENIED/407 4239 GET http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-2010.crl - NONE/- text/html [Cache-Co$
1405939794.884      0 172.18.2.34 TCP_DENIED/407 3901 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939794.900      0 172.18.2.34 TCP_DENIED/407 4261 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939794.916      0 172.18.2.34 TCP_DENIED/407 4191 GET http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl - NONE/- text/html [Cache-Control: max-ag$
1405939795.159      0 172.18.2.34 TCP_DENIED/407 3734 CONNECT ssl.google-analytics.com:443 - NONE/- text/html [Host: ssl.google-analytics.com\r\nProxy-Conne$
1405939795.179      0 172.18.2.34 TCP_DENIED/407 4094 CONNECT ssl.google-analytics.com:443 - NONE/- text/html [Host: ssl.google-analytics.com\r\nProxy-Conne$

в cache.log следущие

got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1
got NTLMSSP command 3, expected 1

в интернетах находил, что стоит пересобирать самбу и править ntlmssp. Если другой не столь кардинальный сбособ дать доступ офису в облако? в самом сквиде все ip облачных сервисов прописаны, в сквидгарде есть отдельный блок для офиса облачном, в котором все domains и urls облачных сервисов прописаны, это все не дает желаемого эффекта. Прошу вашей помощи

Ninjatrasher
(21.07.14 14:49:52 MSK)

7 комментариев

GRE tunnel Debian 7.5 - Cisco

Добрый день, ситуацияю странная до абсурда. Есть две машины, на одной Debian 6.0 на другой Debian 7.5. Задача поднять GRE туннель до Cisco.

Конфигурация туннеля на Debian 6.0

auto gre1
iface gre1 inet static
address 172.18.0.54
netmask 255.255.255.252
modprobe ip_gre
up ifconfig gre1 multicast
pre-up iptunnel add gre1 mode gre local 172.18.1.49 remote 172.18.1.1 ttl 255
pointopoint 172.18.0.53
post-down iptunnel del gre1

туннель прекрасно работает. пинги до 172.18.0.53 и трасировка прекрасно идут.

Конфигурация тунеля на Debian 7.5

auto gre1
iface gre1 inet static
address 172.18.0.50
netmask 255.255.255.252
modprobe ip_gre
up ifconfig gre1 multicast
pre-up iptunnel add gre1 mode gre local 172.18.1.48 remote 172.18.1.1 ttl 255
pointopoint 172.18.0.49
post-down iptunnel del gre1

пинги и трасеровка не идут до 172.18.0.49. вот что показывает tcpdump

root@vs-msk00-prx05:/home/manage# tcpdump -i gre1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gre1, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
11:28:26.173697 IP 172.18.0.50 > 172.18.0.49: ICMP echo request, id 2642, seq 1, length 64
11:28:27.174072 IP 172.18.0.50 > 172.18.0.49: ICMP echo request, id 2642, seq 2, length 64
11:28:28.174054 IP 172.18.0.50 > 172.18.0.49: ICMP echo request, id 2642, seq 3, length 64
11:28:29.174047 IP 172.18.0.50 > 172.18.0.49: ICMP echo request, id 2642, seq 4, length 64
11:28:30.174034 IP 172.18.0.50 > 172.18.0.49: ICMP echo request, id 2642, seq 5, length 64
11:28:31.174029 IP 172.18.0.50 > 172.18.0.49: ICMP echo request, id 2642, seq 6, length 64
11:28:32.174020 IP 172.18.0.50 > 172.18.0.49: ICMP echo request, id 2642, seq 7, length 64

Не могу понять, почему на Debian 7.5 не работает. Циску сразу отметаем так как там два тунеля на двух интерфейсах полностью индентичные, только различаются айпи, 53 и 49 соответственно. Подскажите в чем отличие построение Gre туннеля на Debian 6.0 и Debian 7.5. Iptables не правил ни на Debian 6.0, ни на Debian 7.5.

debian, gre

Ninjatrasher
(11.07.14 11:14:00 MSK)

41 комментарий

RSS подписка на новые темы