The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"обновление windows через squid или в обход"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"обновление windows через squid или в обход"  +/
Сообщение от decrups (ok) on 09-Дек-11, 06:31 
Добрый день!
Использую связку freebsd+SQUID+SAMS Rejik3 c авторизацией по NTLM.На клиентах win7 в ie указан прокси freebsd+SQUID+SAMS Rejik3 c авторизацией по NTLM. Шлюзом на клиенте прокся не является.на маршрутизаторе кот в инет натинг настроин только для прокси.
при нажатии кнопки поиск обновлений на клиенте  появляется запрос "Введите учетные данные для проверки подлиности прокси-сервером.вот лог при попытке обновить винду


1323336544.380      1 172.16.1.1 TCP_DENIED/407 451 HEAD http://download.windowsupdate.com/v9/windowsupdate/redir/muv...? - NONE/- text/html
1323336544.403     15 172.16.1.1 TCP_DENIED/407 654 HEAD http://download.windowsupdate.com/v9/windowsupdate/redir/muv...? - NONE/- text/html
1323336544.406      1 172.16.1.1 TCP_DENIED/407 451 HEAD http://download.windowsupdate.com/v9/windowsupdate/redir/muv...? - NONE/- text/html
1323336544.415      0 172.16.1.1 TCP_DENIED/407 3958 GET http://download.windowsupdate.com/v9/windowsupdate/redir/muv...? - NONE/- text/html

подсмотрел решения такие (но у меня не работают)
1.acl windowsupdate dstdomain -i "/usr/local/etc/squid/windowsupdate"
no_cache deny windowsupdate

http_access allow windowsupdate
# этот http_access нужно поставить перед http_access deny all
# не забываем, что squid.conf парсится сверху вниз и слева направо

в файлике /usr/local/etc/squid/windowsupdate пишем такое

windowsupdate.microsoft.com
update.microsoft.com
activex.microsoft.com
download.windowsupdate.com
www.download.windowsupdate.com
codecs.microsoft.com
stats.updates.microsoft.com
c.microsoft.com

в результате на эти сайты машины ходят сами без пароля, но через squid. В access.log будет IP-адрес.
2. похожее
acl windowsupdate dstdomain windowsupdate.microsoft.com
acl windowsupdate dstdomain .update.microsoft.com
acl windowsupdate dstdomain download.windowsupdate.com
acl windowsupdate dstdomain redir.metaservices.microsoft.com
acl windowsupdate dstdomain images.metaservices.microsoft.com
acl windowsupdate dstdomain c.microsoft.com
acl windowsupdate dstdomain www.download.windowsupdate.com
acl windowsupdate dstdomain wustat.windows.com
acl windowsupdate dstdomain crl.microsoft.com
acl CONNECT method CONNECT
acl wuCONNECT dstdomain www.update.microsoft.com
http_access allow CONNECT wuCONNECT
http_access allow windowsupdate

Есть еще предложение пустить обновление в обход squid но через freebsd, то бишь править конфигу ipfw
хотя я думаю что все таки при указаном пркокси в ie пакеты сразу попадают на squid а потом уже после обработки в ipfw
например на squid закрыл доступ к внешнему url на клиенте  сообщение сответсвено Доступ к URL запрещен
в ipfw добавляю правило перед натом
/sbin/ipfw add fwd айпи внешнего url,80 tcp from any to айпи внешнего url 3128 in via em1

em1 внутрений интерфейс freebsd.
результат на клиенте  сообщение  Доступ к URL запрещен
Подскажите как добиться либо через squid либо в обход.



Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "обновление windows через squid или в обход"  +/
Сообщение от PavelR (ok) on 09-Дек-11, 07:47 

1) Пишите по сообщению в день,  может быть вам помогут, это, без сомнений, верный путь.
2) Желательно сообщения не менять, т.е. ничего не делать, тупо ждать ответов.
3) Как сделать "через сквид" подробно расписано в вашем же вопросе, но почему вы этим не пользуетесь - из вопроса не понятно, и это исключительно ваша проблема.
4) см. п. 1.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "обновление windows через squid или в обход"  +/
Сообщение от decrups (ok) on 09-Дек-11, 12:34 
> 1) Пишите по сообщению в день,  может быть вам помогут, это,
> без сомнений, верный путь.
> 2) Желательно сообщения не менять, т.е. ничего не делать, тупо ждать ответов.
> 3) Как сделать "через сквид" подробно расписано в вашем же вопросе, но
> почему вы этим не пользуетесь - из вопроса не понятно, и
> это исключительно ваша проблема.
> 4) см. п. 1.

Спасибо за ответ.
Проняло.
Действительно все подробно расписано.
Заработало.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "обновление windows через squid или в обход"  +/
Сообщение от zandyg email(ok) on 09-Дек-11, 07:51 

> http_access allow windowsupdate
> # этот http_access нужно поставить перед http_access deny all
> # не забываем, что squid.conf парсится сверху вниз и слева направо

Предполагаю, что строку http_access allow windowsupdate в squid.conf нужно прописать до строки http_access deny !login

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру