Прокси не пускает никуда - TCP_DENIED/403

rick
Дорогой гость
Сообщения: 82
Зарегистрирован: 30 окт 2015 10:33

Re: Прокси не пускает никуда - TCP_DENIED/403

Сообщение rick » 03 ноя 2015 16:23

Поменял всё. И снова та же ошибка=((
1446566613.889 6 172.25.15.170 TCP_DENIED/403 4307 CONNECT client.teamviewer.com:443 squidrdr HIER_NONE/- text/html
1446567189.420 1 172.25.15.170 TCP_DENIED/403 5285 GET http://zaycev.net/favicon.ico squidrdr HIER_NONE/- text/html
1446567243.261 0 172.25.15.170 TCP_DENIED/403 4072 GET http://ciscobinary.openh264.org/openh26 ... 6cfa65.zip squidrdr HIER_NONE/- text/html
Вложения
squid.conf.zip
(1.63 КБ) 26 скачиваний

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Прокси не пускает никуда - TCP_DENIED/403

Сообщение Алексей Максимов » 03 ноя 2015 16:30

Проверяйте отдельно результат работы хелпера ext_ldap_group_acl по примеру, как ранее было описано здесь:
http://forum.it-kb.ru/viewtopic.php?f=5 ... _type#p324

rick
Дорогой гость
Сообщения: 82
Зарегистрирован: 30 окт 2015 10:33

Re: Прокси не пускает никуда - TCP_DENIED/403

Сообщение rick » 03 ноя 2015 17:14

Код: Выделить всё

rick@Ubuntu-server:/etc/squid3$ sudo /usr/lib/squid3/ext_ldap_group_acl -d -v 3 -P -R -K -b "DC=KH,dc=kh,dc=product,dc=com,dc=ua" -D SquidKerb@kh.product.com.ua -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,DC=KH,DC=kh,DC=product,DC=com,DC=ua))" -h srv01-dc.kh.product.com.ua localberOf:1.2.8
squidrdr US-Internet-Standart
ERROR: Unable to connect to LDAP server:srv01-dc.kh.ukrprod.com.ua localberOf:1.2.8 port:389
ERR
Группы US-Internet-Standart, находится в подразделение Группы
Вложения
Безымянный.jpg
Безымянный.jpg (29.27 КБ) 1138 просмотров

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Прокси не пускает никуда - TCP_DENIED/403

Сообщение Алексей Максимов » 03 ноя 2015 17:29

Возникает ощущение, что вы даже не пытаетесь вникнуть в то, какие команды выполняете.
Что за ошмёток в конце команды в виде "localberOf:1.2.8" ?? Хелпер вам вполне понятно отвечает, что не может подключиться к серверу с именем "srv01-dc.kh.ukrprod.com.ua localberOf:1.2.8".
Скриншот слишком мал и на нём ничего не разобрать.

rick
Дорогой гость
Сообщения: 82
Зарегистрирован: 30 окт 2015 10:33

Re: Прокси не пускает никуда - TCP_DENIED/403

Сообщение rick » 03 ноя 2015 17:42

Извиняюсь за неудобства! Я на стадии изучения, не судите строго...
Вот вывод после команды:

ext_ldap_group_acl.cc(587): pid=17318 :Connected OK
ext_ldap_group_acl.cc(726): pid=17318 :group filter '(&(objectclass=person)(sAMAccountName=squidrdr)(memberOf:1.2.840.113556.1.4.1941:=cn=US-Internet-Standart,DC=KH,DC=kh,DC=product,DC=com,DC=ua))', searchbase 'DC=KH,dc=kh,dc=product,dc=com,dc=ua'
ext_ldap_group_acl: WARNING: LDAP search error 'No such object'
ERR

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Прокси не пускает никуда - TCP_DENIED/403

Сообщение Алексей Максимов » 03 ноя 2015 17:49

Покажите полностью команду, которую вы выполняете, покажите её вывод, а также приложите снова скриншот структуры AD в нормальном читаемом размере. Вставки обрамляйте тэгами , чтобы ничего не искажалось.

rick
Дорогой гость
Сообщения: 82
Зарегистрирован: 30 окт 2015 10:33

Re: Прокси не пускает никуда - TCP_DENIED/403

Сообщение rick » 03 ноя 2015 18:10

Не смог загрузить, ошибку 403 веб сервер показывает. В архив все упаковал.
Вложения
ldap.zip
(70.88 КБ) 29 скачиваний

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Прокси не пускает никуда - TCP_DENIED/403

Сообщение Алексей Максимов » 03 ноя 2015 18:30

Как минимум, значение ключей -b и -f указано неправильно исходя из того, что я вижу на скриншоте.
Должно быть так

Код: Выделить всё

-b "dc=kh,dc=product,dc=com,dc=ua"
-f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Группы,DC=kh,DC=product,DC=com,DC=ua))"
Однако с русскими именами пользователей, групп безопасности и организационных подразделений (OU) могут возникнуть проблемы.
Поэтому рекомендую создать отдельный OU с именем типа OU=SquidGroups,DC=kh,DC=product,DC=com,DC=ua и в него переложить группы безопасности используемые для Squid, тогда соответственно значение ключа -f будет таким:

Код: Выделить всё

-f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=SquidGroups,DC=kh,DC=product,DC=com,DC=ua))"
Чтобы не допускать таких ошибок достаточно было почитать ветку комментариев к статье про squid.conf, где я объяснял значение используемых ключей для хелпера ext_ldap_group_acl в external_acl_type.

rick
Дорогой гость
Сообщения: 82
Зарегистрирован: 30 окт 2015 10:33

Re: Прокси не пускает никуда - TCP_DENIED/403

Сообщение rick » 03 ноя 2015 19:24

Спасибо вам за ваши старания. Очень помогли. С места сдвинулся, теперь пускает на сайты, абсолютно на все, даже, что в черном списке.
Вложения
no-err.zip
(782 байт) 34 скачивания

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Прокси не пускает никуда - TCP_DENIED/403

Сообщение Алексей Максимов » 04 ноя 2015 12:38

1. Покажите текущую версию squid.conf а также содержимое всех внешних файлов определяющих ACL (файлы типа conf_param_*).

2. На какой конкретно запрещённый ресурс попадает пользователь, который как вы думаете не должен туда попадать (было бы неплохо видеть кусок лога access.log подтверждающий это) ?

3. Какой конкретно доменный пользователь пропускается на все сайты и в какие доменные группы доступа включён этот пользователь?

Закрыто

Вернуться в «Прокси-сервер Squid»