Mikrotik и SQUID

Обсуждение оборудования и его настройки
Ответить
gentoo
Сообщения: 15
Зарегистрирован: 08 июн 2012, 13:02

Ситуация следующая, есть mikrotik RB750GL, в него 2 провода, на лан и на интернет. В сети есть прокси, на который хотелось бы гнать всех пользователей по определенным портам. Авторизация ntlm без ввода пароля. Включаю прокси, прописываю Parent proxy и порт. Моздаю правило NAT. Коннект на проксю идет, но авторизация не проходт.

Конфиг squid

Код: Выделить всё

http_port 8080
auth_param ntlm  program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic  program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl users proxy_auth REQUIRED
http_access allow users
http_access deny all

Лог squid

Код: Выделить всё

1339148415.167      0 192.168.0.253 TCP_DENIED/407 4464 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1339149211.551      1 192.168.0.253 TCP_DENIED/407 5619 GET http://ru.yahoo.com/ - NONE/- text/html
1339149211.603      0 192.168.0.253 TCP_DENIED/407 4443 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1339149212.420      0 192.168.0.253 TCP_DENIED/407 5619 GET http://ru.yahoo.com/ - NONE/- text/html
1339149212.435      0 192.168.0.253 TCP_DENIED/407 4443 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1339149212.969      0 192.168.0.253 TCP_DENIED/407 5619 GET http://ru.yahoo.com/ - NONE/- text/html
1339149212.984      0 192.168.0.253 TCP_DENIED/407 4443 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1339149213.368      0 192.168.0.253 TCP_DENIED/407 5619 GET http://ru.yahoo.com/ - NONE/- text/html
1339149213.385      0 192.168.0.253 TCP_DENIED/407 4443 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1339149213.615      0 192.168.0.253 TCP_DENIED/407 5619 GET http://ru.yahoo.com/ - NONE/- text/html
1339149213.631      0 192.168.0.253 TCP_DENIED/407 4443 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1339149213.880      0 192.168.0.253 TCP_DENIED/407 5619 GET http://ru.yahoo.com/ - NONE/- text/html
1339149213.896      0 192.168.0.253 TCP_DENIED/407 4443 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1339149214.891      0 192.168.0.253 TCP_DENIED/407 5619 GET http://ru.yahoo.com/ - NONE/- text/html
1339149214.907      0 192.168.0.253 TCP_DENIED/407 4443 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1339149215.992      0 192.168.0.253 TCP_DENIED/407 5619 GET http://ru.yahoo.com/ - NONE/- text/html
1339149216.007      0 192.168.0.253 TCP_DENIED/407 4443 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1339149217.425      0 192.168.0.253 TCP_DENIED/407 5619 GET http://ru.yahoo.com/ - NONE/- text/html
1339149217.439      0 192.168.0.253 TCP_DENIED/407 4443 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1339149217.729      0 192.168.0.253 TCP_DENIED/407 5619 GET http://ru.yahoo.com/ - NONE/- text/html
1339149217.744      0 192.168.0.253 TCP_DENIED/407 4443 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1339149338.512      0 192.168.0.253 TCP_DENIED/407 5619 GET http://ru.yahoo.com/ - NONE/- text/html
1339149338.555      0 192.168.0.253 TCP_DENIED/407 4443 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html


Адрес прокси 192.168.0.39
Mikrotik 192.168.0.253
Клиент 192.168.0.33


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

в логах сквида запросы от микротика

соответственно вы скорее всего где-то Натите польхователей в сквид, а надо роутить


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
gentoo
Сообщения: 15
Зарегистрирован: 08 июн 2012, 13:02

Как я понял запрос идет в первую очередь на прокси микротика, а уже потом на squid, и поэтому не прозоджит авторизация, как бы этого избежать?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

вам надо в файерволе задать правила перенаправления трафика

что-то типа
chain input src adress 192.168.0.1/24 dst adress 0.0.0.0/0 dst-port 80 action dst-nat 192.168.1.100 to-ports 80

тут правило ДСТ-нат которое заворачивает трафик в сторону прокси


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
gentoo
Сообщения: 15
Зарегистрирован: 08 июн 2012, 13:02

Это было первое что я сделал, к сожалению не работает...


gentoo
Сообщения: 15
Зарегистрирован: 08 июн 2012, 13:02

В таком случае просто не открывается никакая страница, это я пробовал в первую очередь


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Посмотрите ip firewall connections

и логи на прокси сервере.


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Уважаемый iSupport верно говорит. При такой настройке в логах сквида есть хоть какие-то движения...


Ответить