forum.opennet.ru

Составление сообщения

Исходное сообщение

"Squid и банк клиент на Java"
Отправлено alfss, 11-Июл-06 20:35

>Добрый день Знатоки. У меня проблема, уже 2 недели ломаю голову.
>Ситуация такая. На FreeBsd 2-е сетевухи, одна смотрит в локалку вторая в
>инет. Поднят Сквид на порт 3128, NAT, и ipfw. Второй срвак
>на виндах 2003, через зону обратного просмотра ДНС ведется единая авторизация
>юзврей как в систему так и в инет. Бюстгалтерия работает с
>банком при помощи Java приложения. Java по портам 9443 и 9080
>ведет авторизацию с банком. Это была присказка, а вот теперь начинается
>сказка.
>В понедельник все работало, во вторник уже не работает банк-клиент.
>Проблема не в фаерволе, и вот почему. Преведя работу ipfw в open
>то биш все открыто, ситуация не изменилась.
>В логах сквида ОТСУТСТВУЮТ строчки типа DENIED. Приведу часть конфига сквида
>СКВИД
>
>#!!!
>acl SSL_ports port 411 443 563 4430 9443 9080
>acl Safe_ports port 80  # http
>acl Safe_ports port 21  # ftp
>acl Safe_ports port 443 563 # https, snews
>acl Safe_ports port 70  # gopher
>acl Safe_ports port 210  # wais
>acl Safe_ports port 1025-65535 # unregistered ports
>acl Safe_ports port 280  # http-mgmt
>acl Safe_ports port 488  # gss-http
>acl Safe_ports port 591  # filemaker
>acl Safe_ports port 777  # multiling http
>#!!!
>acl Safe_ports port 411 4430 9443 9080 # PSBClient
>acl CONNECT method CONNECT
>#!!!
>acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 <- айпи банка
>acl ldap_password proxy_auth REQUIRED
>external_acl_type acl_q_group negative_ttl=60 ttl=60 children=1 %LOGIN /usr/local/libexec/squid/squid_quota.pl
>acl quota_group external acl_q_group
>
># Only allow cachemgr access from localhost
>http_access allow manager localhost
>http_access deny manager
># Deny requests to unknown ports
>#!!!!
>http_access allow !Safe_ports
># Deny CONNECT to other than SSL ports
>#!!!!
>http_access allow CONNECT !SSL_ports
>#!!!
>http_access allow PSBClient
>http_access allow ldap_password quota_group
>
># And finally deny all other access to this proxy
>#!!!!
>http_access allow all
>
>Помогите разобраться плиз. Такое чусвто что сам Сквид режет Java еще до
>фаера, и соот-но до банка. Я не знаю по каким еще
>портам работает Java. Надеюсь на вашу помощь.
>Спасибо
http_access allow !Safe_ports
если не глючу
ето означет пропустить все порты кроме Safe_ports
как я делаю:
acl icq_port port 5190
acl bank port 443
acl ssl_t port 563
acl connect method CONNECT
http_access allow connect ssl_t
http_access allow connect icq_port
http_access allow connect bank
попробуй так

Исходное сообщение
"Squid и банк клиент на Java" Отправлено alfss, 11-Июл-06 20:35
>Добрый день Знатоки. У меня проблема, уже 2 недели ломаю голову. >Ситуация такая. На FreeBsd 2-е сетевухи, одна смотрит в локалку вторая в >инет. Поднят Сквид на порт 3128, NAT, и ipfw. Второй срвак >на виндах 2003, через зону обратного просмотра ДНС ведется единая авторизация >юзврей как в систему так и в инет. Бюстгалтерия работает с >банком при помощи Java приложения. Java по портам 9443 и 9080 >ведет авторизацию с банком. Это была присказка, а вот теперь начинается >сказка. >В понедельник все работало, во вторник уже не работает банк-клиент. >Проблема не в фаерволе, и вот почему. Преведя работу ipfw в open >то биш все открыто, ситуация не изменилась. >В логах сквида ОТСУТСТВУЮТ строчки типа DENIED. Приведу часть конфига сквида >СКВИД > >#!!! >acl SSL_ports port 411 443 563 4430 9443 9080 >acl Safe_ports port 80 # http >acl Safe_ports port 21 # ftp >acl Safe_ports port 443 563 # https, snews >acl Safe_ports port 70 # gopher >acl Safe_ports port 210 # wais >acl Safe_ports port 1025-65535 # unregistered ports >acl Safe_ports port 280 # http-mgmt >acl Safe_ports port 488 # gss-http >acl Safe_ports port 591 # filemaker >acl Safe_ports port 777 # multiling http >#!!! >acl Safe_ports port 411 4430 9443 9080 # PSBClient >acl CONNECT method CONNECT >#!!! >acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 <- айпи банка >acl ldap_password proxy_auth REQUIRED >external_acl_type acl_q_group negative_ttl=60 ttl=60 children=1 %LOGIN /usr/local/libexec/squid/squid_quota.pl >acl quota_group external acl_q_group > ># Only allow cachemgr access from localhost >http_access allow manager localhost >http_access deny manager ># Deny requests to unknown ports >#!!!! >http_access allow !Safe_ports ># Deny CONNECT to other than SSL ports >#!!!! >http_access allow CONNECT !SSL_ports >#!!! >http_access allow PSBClient >http_access allow ldap_password quota_group > ># And finally deny all other access to this proxy >#!!!! >http_access allow all > >Помогите разобраться плиз. Такое чусвто что сам Сквид режет Java еще до >фаера, и соот-но до банка. Я не знаю по каким еще >портам работает Java. Надеюсь на вашу помощь. >Спасибо http_access allow !Safe_ports если не глючу ето означет пропустить все порты кроме Safe_ports как я делаю: acl icq_port port 5190 acl bank port 443 acl ssl_t port 563 acl connect method CONNECT http_access allow connect ssl_t http_access allow connect icq_port http_access allow connect bank попробуй так

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>Добрый день Знатоки. У меня проблема, уже 2 недели ломаю голову.
>>Ситуация такая. На FreeBsd 2-е сетевухи, одна смотрит в локалку вторая в 
>>инет. Поднят Сквид на порт 3128, NAT, и ipfw. Второй срвак 
>>на виндах 2003, через зону обратного просмотра ДНС ведется единая авторизация 
>>юзврей как в систему так и в инет. Бюстгалтерия работает с 
>>банком при помощи Java приложения. Java по портам 9443 и 9080 
>>ведет авторизацию с банком. Это была присказка, а вот теперь начинается 
>>сказка.
>>В понедельник все работало, во вторник уже не работает банк-клиент.
>>Проблема не в фаерволе, и вот почему. Преведя работу ipfw в open 
>>то биш все открыто, ситуация не изменилась.
>>В логах сквида ОТСУТСТВУЮТ строчки типа DENIED. Приведу часть конфига сквида 
>>СКВИД 
>> 
>>#!!!
>>acl SSL_ports port 411 443 563 4430 9443 9080 
>>acl Safe_ports port 80  # http 
>>acl Safe_ports port 21  # ftp 
>>acl Safe_ports port 443 563 # https, snews 
>>acl Safe_ports port 70  # gopher 
>>acl Safe_ports port 210  # wais 
>>acl Safe_ports port 1025-65535 # unregistered ports 
>>acl Safe_ports port 280  # http-mgmt 
>>acl Safe_ports port 488  # gss-http 
>>acl Safe_ports port 591  # filemaker 
>>acl Safe_ports port 777  # multiling http 
>>#!!!
>>acl Safe_ports port 411 4430 9443 9080 # PSBClient 
>>acl CONNECT method CONNECT 
>>#!!!
>>acl PSBClient dst xx.xx.xx./32 xxx.xxx.xx.xx/32 <- айпи банка 
>>acl ldap_password proxy_auth REQUIRED 
>>external_acl_type acl_q_group negative_ttl=60 ttl=60 children=1 %LOGIN /usr/local/libexec/squid/squid_quota.pl 
>>acl quota_group external acl_q_group 
>> 
>># Only allow cachemgr access from localhost 
>>http_access allow manager localhost 
>>http_access deny manager 
>># Deny requests to unknown ports 
>>#!!!!
>>http_access allow !Safe_ports 
>># Deny CONNECT to other than SSL ports 
>>#!!!!
>>http_access allow CONNECT !SSL_ports 
>>#!!!
>>http_access allow PSBClient 
>>http_access allow ldap_password quota_group 
>> 
>># And finally deny all other access to this proxy 
>>#!!!!
>>http_access allow all 
>> 
>>Помогите разобраться плиз. Такое чусвто что сам Сквид режет Java еще до 
>>фаера, и соот-но до банка. Я не знаю по каким еще 
>>портам работает Java. Надеюсь на вашу помощь.
>>Спасибо

> http_access allow !Safe_ports 
> если не глючу 
> ето означет пропустить все порты кроме Safe_ports

> как я делаю: 
> acl icq_port port 5190 
> acl bank port 443 
> acl ssl_t port 563 
> acl connect method CONNECT

> http_access allow connect ssl_t 
> http_access allow connect icq_port 
> http_access allow connect bank

> попробуй так

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру