nicht angemeldet
Config-Frage zum Squid-Proxy
TSHallo,
ich habe leider kein deutschsprachige Forum für den Squid-Proxy gefunden. Vielleicht ist hier ja jemand, der sich mit dem Squid Proxy auskennt und mir helfen mag:
Ich möchte den Squid so konfigurieren, dass sich alle Benutzer authentifizieren müssen, um Internetseiten aufrufen zu können. Bestimmte Seiten sollen aber dennoch direkt zugänglich sein, ohne Authentifizierung.
Das ist bisher unproblematisch gewesen und läuft. Jetz möchte ich aber auch genau den umgekehrten Fall darstellen: Es sollen bestimmte Seiten nicht aufrufbar sein, auch ohne Authentifizierung.
Mit meinem Config-Versuch wird die Seite zwar abgelehnt, aber der User erhält dennoch die Aufforderung, sich zu authentifizieren.
Kann ich das jetzt noch irgendwie abstellen?
Hier mein bescheidener Versuch:
acl whitelist dstdomain .mydomain1.com .partnerdomain1.com
acl blacklist dstdomain .domain1.com test.domain2.com
http_access deny blacklist
acl users proxy_auth REQUIRED
http_access allow all whitelist
http_access users allow
http_access deny all
Klaus
-
Hallo und guten Morgen,
ich habe leider kein deutschsprachige Forum für den Squid-Proxy gefunden. Vielleicht ist hier ja jemand, der sich mit dem Squid Proxy auskennt und mir helfen mag:
Aber es gibt eine deutsche Anleitung
http://www.squid-handbuch.de/hb/squid_web_ct.htmlUnd soweit ich das auf die Schnelle daraus erlesen kann, liegt die Authentifizierung vor der Selektion der zulässigen Requestziele. Wenn Du also einen Request abschickst auf eine Seite, die nicht zugelassen ist, und noch keine Authentifizierung vorgenommen wurde (wenn sie verlangt ist), wird die erst nachgeholt und dann weitergeleitet (nicht umgeleitet) auf die Fehlerseite.
Grüße
TS-
Hallo TS,
Aber es gibt eine deutsche Anleitung
http://www.squid-handbuch.de/hb/squid_web_ct.htmlLeider komme ich trotz deutscher Anleitung auch nicht weiter.
Und soweit ich das auf die Schnelle daraus erlesen kann, liegt die Authentifizierung vor der Selektion der zulässigen Requestziele.
Das stimmt so nicht, da ich den http_access deny blacklist sogar noch vor dem acl users proxy_auth REQUIRED setze und der http_access allow users noch später.
Es wird ja auch direkt die Fehler-Seite des Proxy-Servers angezeigt, aber leider auch die Authentifizierungsabfrage. Es scheint also, als wenn er zwar die Regel akzeptiert und ausführt, aber danach nicht abbricht, sondern die nachfolgenden auch noch ausführt.
Die Frage lautet somit, wie kann ich die weitere Ausführung nach dem deny verhindern?
Klaus
-
Hallo und guten Tag,
Aber es gibt eine deutsche Anleitung
http://www.squid-handbuch.de/hb/squid_web_ct.htmlLeider komme ich trotz deutscher Anleitung auch nicht weiter.
Und soweit ich das auf die Schnelle daraus erlesen kann, liegt die Authentifizierung vor der Selektion der zulässigen Requestziele.
Das stimmt so nicht, da ich den http_access deny blacklist sogar noch vor dem acl users proxy_auth REQUIRED setze und der http_access allow users noch später.
Es wird ja auch direkt die Fehler-Seite des Proxy-Servers angezeigt, aber leider auch die Authentifizierungsabfrage. Es scheint also, als wenn er zwar die Regel akzeptiert und ausführt, aber danach nicht abbricht, sondern die nachfolgenden auch noch ausführt.
Die Frage lautet somit, wie kann ich die weitere Ausführung nach dem deny verhindern?
Ich bin mir jetzt nicht sicher, ob die Reihenfolge der Konfiguration der Dienste auch immer Einfluss auf die Reihenfolge ihrer Berücksichtigung hat. Irgendwie wird die Konfiguration schon in ein vorbereitetes Raster einfließen, dessen Ordnung eine ganz andere sein kann.
Das basiert jetzt nur auf Vermutungen und einer gewissen Extrapolation vom Umgang mit dem Apachen. Da kann man die Authentifizierung auch vereinbaren, wann man will (sofern das dort zuläössig ist) und trotzdem wird sie immer in einer bestimmten Schicht der Requestabarbeitung berücksichtigt.
Ich werde aber das Thema Squid auf meinen Zettel nehmen, weil ich ohnehin gerade ein Zugangssystem für WLAN und Internet im Stack habe. Mal sehen, wann ich dazu komme :-O
Grüße
TS-
Hallo,
Ich bin mir jetzt nicht sicher, ob die Reihenfolge der Konfiguration der Dienste auch immer Einfluss auf die Reihenfolge ihrer Berücksichtigung hat. Irgendwie wird die Konfiguration schon in ein vorbereitetes Raster einfließen, dessen Ordnung eine ganz andere sein kann.
Leider finde ich die Stelle in der Dokumentation nicht mehr, wo steht, dass die Regeln nacheinander abgearbeitet werden (so arbeiten übrigens auch Firewalls), aber anders macht es keinen Sinn, wenn in jedem Beispiel immer die letzte Zeile ein http_access deny all ist.
Ich weiß halt nicht, wie ich eine Bedingung einfügen kann, dass eine Regel nur dann eintritt, wenn eine Bedingung erfüllt ist. Ich hatte es mir einfacher vorgestellt, da ich die Whitelist-Seiten direkt aufrufen kann, ohne Authentifizierung.
Ich hatte es auch schon mit http_access allow users !blacklist versucht, aber dann waren die Blacklist-Seiten nicht mehr gesperrt.
Klaus
-
Hallo und guten Morgen,
Ich weiß halt nicht, wie ich eine Bedingung einfügen kann, dass eine Regel nur dann eintritt, wenn eine Bedingung erfüllt ist. Ich hatte es mir einfacher vorgestellt, da ich die Whitelist-Seiten direkt aufrufen kann, ohne Authentifizierung.
Ich hatte es auch schon mit http_access allow users !blacklist versucht, aber dann waren die Blacklist-Seiten nicht mehr gesperrt.
Du scheinst die Konfiguration "zu Fuß" zu machen. Stimmt das?
Hast Du dir schon mal Webmin for Squid angesehen?
http://doxfer.webmin.com/Webmin/Squid_Proxy_ServerVielleicht komsmt Du dadurch ein Schritt weiter?
Grüße
TS -
Hallo und guten Morgen,
und noch ein Gedicht von mir:
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Bypass
Das liest sich schon mal ganz spannend. Würde mich freuen, wenn Du damit zum Ziel kommst :-)
Grüße
TS-
Hallo,
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Bypass
Hatte ich auch schon gesehen. Hatte mich aber nicht zum gewünschten Ergebnis gebracht.
Dennoch habe ich es letztlich hinbekommen, auch wenn ich nicht erklären kann warum. Nachdem die Einstellung http_access allow users !blacklist nicht funktioniert hatte, habe ich wieder die ursprüngliche Version mit einem http_access deny blacklist versucht. Und diesmal funktioniert es. Einziger Unterschied ist, dass ich die Zeile jetzt etwas weiter unten gesetzt hatte als zuvor. Nicht als erste der http_access-Zeilen sondern nach den
http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhostaber noch vor dem letztlichen
http_access allow users http_access deny allDennoch danke für die Unterstützung.
-
Hallo und guten Morgen,
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Bypass
Hatte ich auch schon gesehen. Hatte mich aber nicht zum gewünschten Ergebnis gebracht.
Dennoch habe ich es letztlich hinbekommen, auch wenn ich nicht erklären kann warum. Nachdem die Einstellung http_access allow users !blacklist nicht funktioniert hatte, habe ich wieder die ursprüngliche Version mit einem http_access deny blacklist versucht. Und diesmal funktioniert es. Einziger Unterschied ist, dass ich die Zeile jetzt etwas weiter unten gesetzt hatte als zuvor. Nicht als erste der http_access-Zeilen sondern nach den
http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhostaber noch vor dem letztlichen
http_access allow users http_access deny allDennoch danke für die Unterstützung.
Wird mich auch noch beschäftigen. Wenn man eine Weile sucht, gibt es eine ganze Reihe von Tutorial- oder Wikiseiten zum Thema.
Ich habe aber noch ein weiteres Problem: ich muss den Zugang zum WLAN ermöglichen, ohne dass die einzelnen Teilnehmer sich gegenseitig sehen können, also Infrastructure ohne interne Kommunikation... Und dann den Internetzugang regeln per Voucher, also nur mit qualifizierter Anmeldung. Und das alles für Hotspots mit Smartphones und Tablets, ohne dass die Teilnehmer erst einen Führerschein machen müssen.
Da bin ich mir überhaupt noch nicht sicher, wie ich das organisieren muss, ob ein offener WLAN mit nachgeschaltetem Auth-Proxy da genügt. Insbesondere muss der Proxy ja auch mehr, als HTTPS (HTTP möglichst nur nach Warnung) können. Der muss auch Mail und andere Dienste durchleiten.
Grüße
TS-
Hallo,
Wird mich auch noch beschäftigen. Wenn man eine Weile sucht, gibt es eine ganze Reihe von Tutorial- oder Wikiseiten zum Thema.
Ich hatte auch diverse Seiten gesucht und besucht, aber leider nichts zu meinem konkreten Problem gefunden.
Ich habe aber noch ein weiteres Problem: ich muss den Zugang zum WLAN ermöglichen, ohne dass die einzelnen Teilnehmer sich gegenseitig sehen können, also Infrastructure ohne interne Kommunikation... Und dann den Internetzugang regeln per Voucher, also nur mit qualifizierter Anmeldung. Und das alles für Hotspots mit Smartphones und Tablets, ohne dass die Teilnehmer erst einen Führerschein machen müssen.
Wir haben für ein Guestnet mit vollen Internet-Zugriff (also alle Dienste frei) das Produkt von Zyxel im Einsatz. Inklusive kleinen Bon-Drucker. Dahinter steht ein transparenter Proxy, der bestimmte Seiten und Protokolle dicht macht und gegebenfalls eine Meldung im Browser produziert.
Klaus
-
-
-
-
-
-
-