Problemi con proxy

[DigitalKiller]

Ciao a tutti!
Ho configurato il server debian che ho in ufficio in modo che faccia da proxy (squid + dansguardian) per la rete aziendale. Impostando come gateway l'ip del proxy (ed il proxy tra le proprietà di connessione di firefox/iexplorer), però, sono sorti un po' di problemi che non sto riuscendo a risolvere...
Ad esempio, non riesco più a collegarmi al server debian (tramite webmin) o agli altri pc della rete (tramite cups). In entrambi i casi squid, infatti, blocca il protocollo https. Se digito l'indirizzo http://nomepc:631/, cups si apre ma appena cerca di passare ad https, squid blocca la pagina. Se invece cerco di accedere ad un sito https al di fuori della lan, non ho problemi..
Devo creare un'ACL per permettere l'accesso in locale a questi siti?

Altro problema...
Alcuni pc della rete, utilizzano gftp per trasferire dei file da e verso un server ftp esterno. Tutto funziona collegandosi all'ftp via browser, ma utilizzando il client gftp non riesco a collegarmi.
Come posso risolvere?

...ultimo problema, alquanto strano
Alcuni siti (ad esempio www.msn.it) su alcuni pc, vengono bloccati, mentre su altri no. Come mai?

Grazie

[DigitalKiller]

Nessuno?

[bort_83]

prova a sfogliare i file di log di squid. Sicuramente puoi trovare qualcosa riguardo al rifiuto delle connessioni.

Per quanto riguarda https a me dava problemi con la vecchia versione di firefox(1.5 win) e squid.

dovresti inoltre disabilitare l'accesso tramite proxy per i la rete locale.

[Maddoctor]

Quote:

Ho configurato il server debian che ho in ufficio in modo che faccia da proxy (squid + dansguardian) per la rete aziendale. Impostando come gateway l'ip del proxy (ed il proxy tra le proprietà di connessione di firefox/iexplorer), però, sono sorti un po' di problemi che non sto riuscendo a risolvere...
Ad esempio, non riesco più a collegarmi al server debian (tramite webmin) o agli altri pc della rete (tramite cups). In entrambi i casi squid, infatti, blocca il protocollo https. Se digito l'indirizzo http://nomepc:631/, cups si apre ma appena cerca di passare ad https, squid blocca la pagina. Se invece cerco di accedere ad un sito https al di fuori della lan, non ho problemi..
Devo creare un'ACL per permettere l'accesso in locale a questi siti?

Per prima cosa secondo me potresti configurare il browser per non usare il proxy quando si collega a certi indirizzi/ip (su explorer "non utilizzare proxy per gli indirizzi che iniziano per" li ci metti la sottorete che usi , tipo 10.* e gli indirizzi , tipo *.dominiolocale) ... non risolversti il problema alla radice ma almeno riusciresti ad usare i vari strumenti.

Comunque, come ti ha suggerito bort_83, guarda i file di log (sia debug che access) e magari facceli avere ..... si sa mai.

Magari facci anche uno schemino in cui spieghi la configurazione della rete .......

Quote:

Alcuni pc della rete, utilizzano gftp per trasferire dei file da e verso un server ftp esterno. Tutto funziona collegandosi all'ftp via browser, ma utilizzando il client gftp non riesco a collegarmi.
Come posso risolvere?

Per l'ftp da quel che ne so io , usare il proxy non è il massimo (e poi che senso ha ?) ..... meglio fare connessione diretta in quei casi. Comuunque hai un problema di autenticazione sul ftp remoto o cosa ?

Quote:

Alcuni siti (ad esempio www.msn.it) su alcuni pc, vengono bloccati, mentre su altri no. Come mai?

Cosa intendi per vengono bloccati ? Tramite Dansguardian .. (non lo consoco, uso squidGuard ma credo sia complemntari) ......

Ciao

[DigitalKiller]

Eccomi
Spluciando i log di squid e dansguardian non c'ho capito molto e dato che è la prima volta che ho a che fare con un proxy, ho preferito procedere con più calma disattivando dansguardian e concentrandomi prima sulla configurazione di squid..
Già ieri mattina avevo risolto il problema delle connessioni a webmin e cups inserendo delle acl per squid.
Leggendo i vostri due post, ho rimosso quelle acl in quanto non ha alcun senso accedere a siti locali tramite proxy. Ho impostato firefox/iexplorer in modo da ignorare il proxy per tutti gli indirizzi che terminano con .mio_dominio e tutto funziona correttamente (riesco ad aprire sia pagine http che https in locale).
Per quanto riguarda il blocco dei siti, si tratta, credo, di un'errata configurazione di dansguardian, ma questa la vedrò in seguito..
Per l'ftp, invece, io vorrei bypassare completamente il proxy e dirigere le connessioni verso il router. Devo scrivere una regola di iptables per farlo?
A rigaurdo, il pc su cui è installato il proxy, non è posto tra il router e la lan, ma tutti i pc sono collegati ad un patch panel su cui è collegato anche il router. Tramite dhcp, imposto come gateway l'ip del proxy e poi con questa regola di iptables

Codice:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

ridireziono il traffico sulla porta 80 verso la porta su cui è in ascolto squid.

[Maddoctor]

E come fai con porta 443 = https .... forse è per quello che non ti vanno gli https

EDIT : Forse sono stato poco chiaro.

Se imposti tramite dhcp come gateway il proxy, è normale che poi https ed ftp non vadano, se non usi un browser (anche lui settato per usare proxy).

Devi lasciare come gateway il router, ed impostare il proxy sul browser.

Punto e finita li. Se proprio vuoi il proxy trasparente dove funzionino pero anche https e ftp, mettilo sul firewall (gateway) ma è un rischio per la sicurezza.

Ciao

[DigitalKiller]

Quote:

Originariamente inviato da Maddoctor

E come fai con porta 443 = https .... forse è per quello che non ti vanno gli https

EDIT : Forse sono stato poco chiaro.

Se imposti tramite dhcp come gateway il proxy, è normale che poi https ed ftp non vadano, se non usi un browser (anche lui settato per usare proxy).

Devi lasciare come gateway il router, ed impostare il proxy sul browser.

Punto e finita li. Se proprio vuoi il proxy trasparente dove funzionino pero anche https e ftp, mettilo sul firewall (gateway) ma è un rischio per la sicurezza.

Ciao

Ehm...forse sono stato io poco chiaro
Ora funziona tutto! E' da ieri che sto testando questa configurazione (proxy impostato sia come gateway che tra le preferenze del browser) e tutto funziona correttamente. Non ho problemi nell'aprire nessun tipo di sito (http/https) né locale né remoto. Per i siti locali, come mi avete suggerito, il proxy viene ignorato dal browser.

Il problema resta solo con i client ftp che non riescono a collegarsi. Ma non posso scrivere una regola per dirigere il traffico ftp direttamente verso il router?

[Maddoctor]

Anche io sono stato poco chiaro.

Appurato che :

1) - La regola di iptables che mi hai postato serve per fare "Transparent Proxy", ovvero una redirezione del traffico http che normalmente gira sulla porta 80 verso la porta dove sta in ascolto squid, senza che l'utente se ne accorga.

2) - Setti di base come default-gw l'ip del proxy server

Se ne deduce che :

1) - Vedi i siti http ed https perche explorer è configurato per usare il proxy.

2) - Non vedi gli ftp, perche il proxy non è il gateway, quindi non sa cosa farsene del traffico sulla porta 21.

3) - Tutti i programmi che non possono essere configurati per fare uso di proxy e che non comunicano sulla porta 80 non vanno in internet. [NON TE NE SEI ACCORTO ?]

Quindi secondo me e' meglio :

1) - Reimposti il dhcpd per fornire come gateway l'indirizzo del gateway

2) - Mantieni explorer impostato per usare il proxy

3) - Se vuoi che il traffico internet di explorer passi dal proxy per questioni di filtering, modifichi la conf. del firewall e blocchi l'uscita diretta dalla porta 80 per tutti gli IP che non sono quelli del proxy. A questo punto se non setti da explorer il proxy non navighi.

[HexDEF6]

Quote:

Originariamente inviato da Maddoctor

3) - Se vuoi che il traffico internet di explorer passi dal proxy per questioni di filtering, modifichi la conf. del firewall e blocchi l'uscita diretta dalla porta 80 per tutti gli IP che non sono quelli del proxy. A questo punto se non setti da explorer il proxy non navighi.

e gia che ci sei imposti il firewall in modo che giri tutte le richieste fatte in forward sulla 80 non provenienti dal proxy ad un ip interno dove c'e' un web server la cui pagina spiega come configurare il proxy

[DigitalKiller]

Quote:

Originariamente inviato da Maddoctor

Anche io sono stato poco chiaro.

Appurato che :

1) - La regola di iptables che mi hai postato serve per fare "Transparent Proxy", ovvero una redirezione del traffico http che normalmente gira sulla porta 80 verso la porta dove sta in ascolto squid, senza che l'utente se ne accorga.

2) - Setti di base come default-gw l'ip del proxy server

Se ne deduce che :

1) - Vedi i siti http ed https perche explorer è configurato per usare il proxy.

2) - Non vedi gli ftp, perche il proxy non è il gateway, quindi non sa cosa farsene del traffico sulla porta 21.

3) - Tutti i programmi che non possono essere configurati per fare uso di proxy e che non comunicano sulla porta 80 non vanno in internet. [NON TE NE SEI ACCORTO ?]

Quindi secondo me e' meglio :

1) - Reimposti il dhcpd per fornire come gateway l'indirizzo del gateway

2) - Mantieni explorer impostato per usare il proxy

3) - Se vuoi che il traffico internet di explorer passi dal proxy per questioni di filtering, modifichi la conf. del firewall e blocchi l'uscita diretta dalla porta 80 per tutti gli IP che non sono quelli del proxy. A questo punto se non setti da explorer il proxy non navighi.

Ricapitolando, nel mio caso (proxy non posto tra router e lan) devo:
1) impostare il dhpcd in modo che invii ai client l'effettivo ip del gateway e non quello del proxy
2) impostare il browser in modo che utilizzi il proxy per gli indirizzi remoti e non per quelli locali
3) rimuovere la regola di iptables (immagino che non sia più necessaria)

In questo modo, finchè non viene rimosso il proxy dal browser, posso ugalmente filtrare il traffico internet (solo quello generato da browser) o sbaglio?!
Grazie dell'aiuto

[DigitalKiller]

Quote:

Originariamente inviato da HexDEF6

e gia che ci sei imposti il firewall in modo che giri tutte le richieste fatte in forward sulla 80 non provenienti dal proxy ad un ip interno dove c'e' un web server la cui pagina spiega come configurare il proxy

Sinceramente non ho molta dimestichezza con i firewall cisco, quindi vorrei evitare di mettere mani alla configurazione. Almeno fino a quando il mio capo non si decide a farmi seguire un corso cisco
Inoltre voglio evitare che i colleghi vadano oltre ai loro compiti...non immagini i casini che combinano ogni giorno

[Maddoctor]

Quote:

Ricapitolando, nel mio caso (proxy non posto tra router e lan) devo:
1) impostare il dhpcd in modo che invii ai client l'effettivo ip del gateway e non quello del proxy
2) impostare il browser in modo che utilizzi il proxy per gli indirizzi remoti e non per quelli locali
3) rimuovere la regola di iptables (immagino che non sia più necessaria)

In questo modo, finchè non viene rimosso il proxy dal browser, posso ugalmente filtrare il traffico internet (solo quello generato da browser) o sbaglio?!

Certo ... e ripeto che se blocchi il traffico dal firewall (Cisco, che modello è ... se posti la config anche in pvt magari vediamo come fare a bloccare il traffico http .... al lavoro mi stanno installando una bella coppia di 515 in failover , per ora ho un linux scrauso e un PIX 506) per la navigazione http sei sicuro che per navigare gli utenti devono passare per il proxy.

Io al lavoro ho :

Blocco della porta 80 (a dire il vero il blocco è totale .... dove lavoro sono paranoici .... abilito gli utenti uno per uno a seconda di dove devono andare ..... )
Per i PC base (No dominio) configurazione manuale del proxy ed autenticazione tramite finestra popup con richiesta di login/password
Per CITRIX configurazione del proxy tramite AD ed autenticazione in SSO tramite l'helper di samba3.0 e winbind


Comunque tutti devono passare dal proxy ... e a chi non puo .... 404 PROIBITO

P.S. : Il proxy come la gestisce l'autenticazione ..... l'hai impostata oppure no ?

Quote:

Grazie dell'aiuto

Figurati ... picere

[DigitalKiller]

Quote:

Originariamente inviato da Maddoctor

Certo ... e ripeto che se blocchi il traffico dal firewall (Cisco, che modello è ... se posti la config anche in pvt magari vediamo come fare a bloccare il traffico http .... al lavoro mi stanno installando una bella coppia di 515 in failover , per ora ho un linux scrauso e un PIX 506) per la navigazione http sei sicuro che per navigare gli utenti devono passare per il proxy.

Io al lavoro ho :

Blocco della porta 80 (a dire il vero il blocco è totale .... dove lavoro sono paranoici .... abilito gli utenti uno per uno a seconda di dove devono andare ..... )
Per i PC base (No dominio) configurazione manuale del proxy ed autenticazione tramite finestra popup con richiesta di login/password
Per CITRIX configurazione del proxy tramite AD ed autenticazione in SSO tramite l'helper di samba3.0 e winbind


Comunque tutti devono passare dal proxy ... e a chi non puo .... 404 PROIBITO

P.S. : Il proxy come la gestisce l'autenticazione ..... l'hai impostata oppure no ?









Figurati ... picere

Il firewall è un Cisco è una vecchia versione del PIX 515. Ti ringrazio dell'aiuto, ma per il momento voglio concentrarmi solo su una cosa.
Pian piano sto trasferendo tutti i servizi da un vecchio server a questo nuovo e man mano che trasferisco, o aggiungo come in questo caso, dei servizi, voglio essere sicuro che tutto funzioni correttamente. Non vorrei spegnere il vecchio server e ritrovarmi all'improvviso con il nuovo che non funziona a dovere. Al tempo stesso vorrei capire cosa sto facendo, senza stare lì a configurare un servizio seguendo passivamente un tutorial...
In ufficio mi occupo anche di altro e per ora, purtroppo, devo accantonare il discorso firewall anche perchè, se dovessi combinare casini, non saprei a chi rivolgermi! La persona che l'ha configurato non è rintracciabile..

Comunque, in attesa di riconfigurare il firewall, come posso evitare che gli utenti lo aggirino cambiando la configurazione del browser?

Tornando a squid...
Attualmente non utilizzo nessun tipo di autenticazione, In futuro, però, vorrei attivare un dominio con samba & ldap (già testato) e, quindi, attiverò anche l'autenticazione.


Mi sono sorti alcuni dubbi...
Ho letto un po' il manuale di squid nel quale si sconsiglia di utilizzare il RAID-5 in quanto poco performante...
Io ho installato squid su un server che fa tra l'altro da backup server, web server, mail server interno, condivisione file, dns il tutto su 3 dischi in RAID-5...
Secondo te, mi conviene lasciare questa configurazione o mi conviene installare squid/dansguardian su un pc a parte? Magari dotato di due schede di rete ed interposto tra il firewall e la lan?

Grazie ancora