slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 3proxy   Freeware набор прокси-серверов под Windows/Unix/Linux   Документация | Загрузить | Расширения и дополнения | GitHub Основные используемые версии: Стабильная версия 0.6.1 (11.12.2009) Changelog + загрузка Стабильная версия 0.7.1.4 (23.01.2016) Changelog Стабильная версия 0.8.13 (1.08.2019) Changelog Разрабатываемая версия 0.9b-devel Changelog Дополнительно: WrSpy - Анализатор логов и расширенная выдача статистики [веб-архив] Как избежать типичных ошибок при написании файлов конфигурации // текущий бэкап шапки... Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 12:13 11-08-2006 | Исправлено: mvk2006, 10:14 03-12-2019

I_Winter_I_I_Wolf_I Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zbugz Ну так доступ по ip можно с помощью allow/deny ограничить, а аутентификацию поставить strong, по имени/паролю. Всего записей: 541 | Зарегистр. 13-03-2008 | Отправлено: 12:50 13-06-2013

TheBarmaley Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KChernov как-то я пропустил: Цитата: все последующие запросы - с именем "Squid proxy-caching web server" т.е. авторизация на 3прокси у тебя проходит только один раз и больше не запрашивается, как я понимаю.. отсюда вопрос - строка parent для нужного логина стоит в "правильном" месте и правильно прописана? в смысле - в ней должен быть указан (если требуется) логин/пасс для "верхнего" прокси, который "вроде Squid".. Цитата: Я тоже подумал, что fakeresolve нужен, только когда это чужие прокси (которые сам не контролируешь). нащёт "неконтролируемости" - не обязательно, у меня, к примеру, оба прокси в связке мне подконтрольны.. :) а ваще - да, именно эта команда используется для разрешения имён в "гирлянде" проксей.. из мануала: Цитата: Usefull if all requests are redirected to parent proxy т.е. при этом сабж просто отдаёт днс-запрос на родительский прокси..   ну и нащёт логинов.. вопрос интересный - учитывая, шо Цитата: Попытка войти под тем же логином это ответ от "родителя" (сквида ?) - у сабжа ошибка 407 выводится по другому.. тогда могу предположить (но не более), шо есть некий "одновременный" запрос от системы и юзера.. который "твой" 3прокси пропускает, но "клинит" именно на "чужом" парент-прокси.. почему - я хз.. вопчем, ничё конкретного не скажу, но я бы попробовал задать одинаково для системы и "проблемного" юзера..   и таки да - root также вызывает "смутные сомнения".. особенно ежли учесть, шо "дальше" стоит сквид.. который, вероятне всего, поставлен на лине.. но, повторюсь, это не более чем ощущения.. и, чес гря, я хз, влияет оно как-то или нет.. :) Всего записей: 17767 | Зарегистр. 07-06-2006 | Отправлено: 15:00 13-06-2013

KChernov Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TheBarmaley Цитата: т.е. авторизация на 3прокси у тебя проходит только один раз и больше не запрашивается, как я понимаю.. отсюда вопрос - строка parent для нужного логина стоит в "правильном" месте и правильно прописана? в смысле - в ней должен быть указан (если требуется) логин/пасс для "верхнего" прокси, который "вроде Squid".. Пробовал там вводить логин/пароль от родительского прокси (который как раз вроде тоже Squid) - смотрел по логам - выдаётся ошибка, что нет такой записи (в смысле в конфиге субжа).   Вот кусок конфига: Код: auth strong maxconn 100000 allow * parent 1000 http proxy 3128 login pass deny *   proxy -p8080 -a -n     Цитата: тогда могу предположить (но не более), шо есть некий "одновременный" запрос от системы и юзера..   Так я специально на прокси один пароль задал, а в Лисе - другой. Правда не уверен, что прокси совсем грамотно настроил - неоднократно сталкивался в никсах с проблемами при работе с прокси с авторизацией. Ну и в любом случае, нормальная практика, когда на весь комп прокси с одним логином/паролем, а клиентов там может работать много.   Цитата: который "твой" 3прокси пропускает, но "клинит" именно на "чужом" парент-прокси.. почему - я хз..   А замем он передаёт информацию о логине к себе куда-то дальше?!? Она же нужна только для доступа к нему?..   Может это из-за "proxy -p8080 -a"?   И кстати можно как-то посмотреть, какую информацию субж отсылает дальше? Чтобы он лишнего туда не слал. А то вообще говоря у нас инет привязан к компьютеру и я не хочу чтобы наружу шла информация о том, что на самом деле там в инет ходят с нескольких. А то потом если что с бюрократией этой нашей замучаешься Всего записей: 2492 | Зарегистр. 20-04-2004 | Отправлено: 15:31 13-06-2013

TheBarmaley Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KChernov Цитата: Вот кусок конфига всё ровно, вроде бы.. за исключением настройки maxconn и parent.. я бы сделал так: maxconn 10000 ---- для твоей задачи выше крыши, а больше максимального числа портов (65535) всё-рно быть не может.. ;) parent 1000 tcp proxy 3128 login pass --- чтобы форвардил не только хттп, но и другие протоколы (хттпС, например) либо задать несколько таких команд с разными типами подряд.. Цитата: сталкивался в никсах с проблемами при работе с прокси с авторизацией это возможно, и не только в никсах.. из-за неуказания хттпс-портов в команде allow.. поэтому лично я предпочитаю задавать её более определённо.. ну, хотя бы, вот так: allow * * * 80,443 * * * Цитата: он передаёт информацию о логине к себе куда-то дальше?!? нет конечно, не передаёт.. тем более у тебя включен режим "анонимности" (ключ -а).. так шо на внешнем прокси "палиться" будет только запрос "как бы" от тачки с самой проксёй.. хотя идентификатор клиентской оси и некоторые данные о клиенте, ессно, идут от "внутреннего" клиента.. :) т.е. вместо машины с вин7/ие ты "снаружи" выглядишь как линукс/лиса.. )) Цитата: можно как-то посмотреть, какую информацию субж отсылает дальше? можно.. нужен сниффер, настроенный на отдачу на порт внешнего прокси.. только смысла нету, имхо.. ведь "лишнего" ничего не и уходит, за исключением заголовка хттп-запроса.. который уже никак не переделаешь.. хотя, при большом желании, можно отследить, шо в запросах с одной машины меняется ось/браузер и пр.. но это уже больше из серии "шпиёнские страсти".. =)   зы. кроме всего прочего, в твоём случае можно попробовать ввести в конфиг команду authcache.. но за результат не скажу точно, т.к. сам её на практике не использую.. Всего записей: 17767 | Зарегистр. 07-06-2006 | Отправлено: 17:08 13-06-2013

I_Winter_I_I_Wolf_I Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zbugz По идее, должно быть либо так Код: flush auth iponly allow * 192.168.1.3 * 81 * admin -p81   либо так Код: flush auth strong users admin:CL:123 allow admin 192.168.1.3 * 81 * admin -p81   И должно работать. Оба варианта пробовали? Всего записей: 541 | Зарегистр. 13-03-2008 | Отправлено: 04:18 14-06-2013

KChernov Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TheBarmaley Цитата: нет конечно, не передаёт.. тем более у тебя включен режим "анонимности" (ключ -а).. так шо на внешнем прокси "палиться" будет только запрос "как бы" от тачки с самой проксёй.. хотя идентификатор клиентской оси и некоторые данные о клиенте, ессно, идут от "внутреннего" клиента.. т.е. вместо машины с вин7/ие ты "снаружи" выглядишь как линукс/лиса.. ))   В общем как-то первая часть ответа второй противоречит. Но видимо верна таки вторая. Похоже таки проблема во внешнем прокси, который "понимает", что идёт доступ с нескольких компов Я уже даже и -a убрал на внешнем прокси - подумал, что может в анонимизации дело - но как-то не заметил разницы.   Цитата: можно.. нужен сниффер, настроенный на отдачу на порт внешнего прокси.. только смысла нету, имхо.. ведь "лишнего" ничего не и уходит, за исключением заголовка хттп-запроса.. который уже никак не переделаешь.. хотя, при большом желании, можно отследить, шо в запросах с одной машины меняется ось/браузер и пр.. Похоже мне таки это придётся делать и проверять, а что же там пишется. С другой стороны, раз настроить вывод всё равно нельзя - получается что надо искать другой прокси Всего записей: 2492 | Зарегистр. 20-04-2004 | Отправлено: 10:01 24-06-2013

TheBarmaley Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KChernov Цитата: В общем как-то первая часть ответа второй противоречит.   Но видимо верна таки вторая. не-а, не противоречит.. и верны обе части.. :) потому как любой прокси передаёт запрос клиента наружу.. а в заголовке запроса всегда есть некая инфа о клиенте.. иначе, в частности - без идентификации браузера, удалённый сайт не обработает запрос (или обработает неверно).. ну, грубо говоря, задача прокси простая - взять запрос клиента и передать его с минимальными (!) изменениями дальше.. а вот ип-адрес клиента при анонимном прокси, ессно, не палится.. и сам сабж на всяких "проверялках" тоже не виден..   вот тут, например, можно вкратце почитать о чём "стучит" клиентский браузер.. если такое "палево" критично - меняй юзер-агент (как минимум) и отключай куки у браузера.. Цитата: Похоже таки проблема во внешнем прокси, который "понимает", что идёт доступ с нескольких компов   это вряд ли, ведь прокси не "шпиёнская тулза", его "интересует" корректность доступа и правильность приёма/передачи.. во всяком случае, в сабже подобного функционала точно нет.. Цитата: -a убрал на внешнем прокси зря убрал - анонимизация работает только "снаружи", а не для клиента.. :) Цитата: раз настроить вывод всё равно нельзя - получается что надо искать другой прокси и ещё раз - прокси НЕ скрывает заголовки запросов браузера, соответствующие стандартам протоколов обмена.. отсюда - именно по этой причине смысла менять шило на мыло нет никакого.. Всего записей: 17767 | Зарегистр. 07-06-2006 | Отправлено: 09:09 25-06-2013

KChernov Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TheBarmaley Цитата: вот тут, например, можно вкратце почитать о чём "стучит" клиентский браузер.. если такое "палево" критично - меняй юзер-агент (как минимум) и отключай куки у браузера..   Спасибо, посмотрю А запросы системы (при загрузке/обновлении пакетов например) ведь тоже будут передавать информацию о системе.   Цитата: это вряд ли, ведь прокси не "шпиёнская тулза", его "интересует" корректность доступа и правильность приёма/передачи..   Я не про сабж, а про прокси, через который у нас на работе инет дают. И поскольку там идёт привязка к компьютеру, они как раз и могут анализировать запросы, видеть там разные оси и воспринимать это как несанкционированный доступ - ведь в сообщении об ошибке как раз такое и написано: Цитата: 407 Доступ запрещён. ... Попытка войти под тем же логином с другого компьютера. ...     Цитата: зря убрал - анонимизация работает только "снаружи", а не для клиента.. Ну так я и убрал его, предполагая, что наличие этой опции анонимизирует запрос от этого прокси к внешнему прокси. А мне как раз надо, чтобы внешний прокси видел, что запрос происходит именно с этой машины. Только это не помогает - похоже какая-то информация всё же передаётся. При этом на следующем моём прокси в цепочке уже стоит -а как раз из расчёта, что моему первому прокси он не будет передавать информацию о машинах, с которых идут запросы. Но видимо как-то оно иначе работает.   Цитата: и ещё раз - прокси НЕ скрывает заголовки запросов браузера, соответствующие стандартам протоколов обмена..   Понятно, спасибо, попробую поколдовать над заголовками браузера - вроде проблема была только с браузером - с системой обновления такого не было. Всего записей: 2492 | Зарегистр. 20-04-2004 | Отправлено: 11:32 25-06-2013

TheBarmaley Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KChernov Цитата: там идёт привязка к компьютеру продолжаем гадание на кофейной гуще.. :) 0. как именно сделана эта "привязка"? т.е. что ещё используется кроме ип-адреса и/или логина/пароля? 1. какой именно прокси используется "на работе"? если это, каэшна, не подорвёт обороноспособность Родины.. ;) 2. как именно на нём сделана авторизация клиента? в частности - см. настройки на твоём вин7-"шлюзе".. 3. есть ли еа этом прокси/шлюзе авторизация по юзерскому сертификату?   по остальному: Цитата: запросы системы (при загрузке/обновлении пакетов например) ведь тоже будут передавать информацию о системе ну естессно.. :) Цитата: мне как раз надо, чтобы внешний прокси видел, что запрос происходит именно с этой машины дык, оно понятно. но если всё-тки "там" мониторят по хттп-заголовкам, тогда можно закуривать.. хотя, чес гря, я хз в каком софте (и, самое главное, зачем??) реализован такой маразм.. )   зы. вот почему-то думается мне, шо всё намного проще.. и достаточно взять пару пива и перетереть это мутное дело со своими "вышележащими"одминами.. ;) Всего записей: 17767 | Зарегистр. 07-06-2006 | Отправлено: 13:52 25-06-2013

KChernov Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TheBarmaley Цитата: продолжаем гадание на кофейной гуще.. 0. как именно сделана эта "привязка"? т.е. что ещё используется кроме ип-адреса и/или логина/пароля? 1. какой именно прокси используется "на работе"? если это, каэшна, не подорвёт обороноспособность Родины.. 2. как именно на нём сделана авторизация клиента? в частности - см. настройки на твоём вин7-"шлюзе".. 3. есть ли еа этом прокси/шлюзе авторизация по юзерскому сертификату?   0. Привязка сделана по макадресу сетевухи + авторизация на прокси; 1. Если верить нижеупомянутому сайту, то squid/3.1.10; 2. Адрес прокси + логин + пароль (+айпи и макадрес); 3. нет   Цитата: вот почему-то думается мне, шо всё намного проще.. и достаточно взять пару пива и перетереть это мутное дело со своими "вышележащими"одминами.. У нас парой пива точно не отделаешься. И связываться со мной вряд ли кто-то будет даже по знакомству - если что геморой никому не нужен.     Попробовал с помощью User Agent Switcher поменять HTTP_USER_AGENT на такой же как и на основном компе - не помогло. На основании этой статьи: www.windowsfaq.ru/content/view/448/79 - сделал вывод, что видимо проблема в том, что субж передаёт информацию имено о самом факте перенаправления, передавая через HTTP_VIA и HTTP_X_FORWARDED_FOR названия обоих прокси и оба айпишника соответственно. Может это как-то можно в субже выключить? Всего записей: 2492 | Зарегистр. 20-04-2004 | Отправлено: 16:32 25-06-2013

TheBarmaley Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KChernov по сделанному выводу: Цитата: названия обоих прокси и оба айпишника соответственно зашёл щас в "эту статью" через свои 2 прокси, показало внешний ип шлюза и отсутствие прокси: Цитата: Вы не используете прокси–сервер или прокси–сервер скрывает информацию о Вас. т.е. как и должно быть.. =)   по авторизации на вышестоящем: возможно (но не факт), что каким-то макаром при посылке запроса от внутреннего клиента на линухе проходит передача мак-адреса от него (в самом пакете по локальной сети), т.к. обе "твои" машины в одной локалке с "верхним" прокси.. по идее, при работе через анонимный прокси так быть не должно, но как-то же вторая машина "палится"..   как "объехать": 1. вынести "левую" тачку в отдельный сегмент сети (логический), а на вин7 задать второй ип-адрес для работы с линь-машиной.. т.е., типа, сделать "маршрутизацию".. коряво, не спорю, но других вариантов у меня пока нет.. 2. не использовать прокси совсем, а сделать расшаренное и-нет подключение, задав в лине в качестве шлюза вин7..   Добавлено: и да, про "геморой": а в чём, сопссно, проблема? подай завку на вторую тачку, пущай сделают в сквиде доступ с двух адресов, и привяжут их как угодно.. если это для работы - вряд-ли кто-то будет шибко сопротивляться.. ну а если "просто так", тогда придумай/обоснуй "производственную необходимость".. ;) Всего записей: 17767 | Зарегистр. 07-06-2006 | Отправлено: 07:50 26-06-2013

KChernov Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TheBarmaley Цитата: Вы не используете прокси–сервер или прокси–сервер скрывает информацию о Вас. т.е. как и должно быть.. =) Значит одно из двух: или у нас такая политика "безопасности", или такие криворукие админы   Цитата: т.к. обе "твои" машины в одной локалке с "верхним" прокси.. Это не так. Сделано так: 0) Прокси в сети организации; 1) Мой комп №1 (XP) с доступом в инет через 0) через сетевуху №1 и с подключением моего компа №2 через сетевуху №2. На нём стоит субж, настроеный на 0); 2) Мой комп №2 (7-ка), подключённый через сетевуху №1 к 1) и через сетевуху №2 к 3). На нём стоит субж, настроеный на 1); 3) Мой комп №3 (Linux) подключён через сетевуху к 2)   Цитата: 1. вынести "левую" тачку в отдельный сегмент сети (логический), а на вин7 задать второй ип-адрес для работы с линь-машиной.. т.е., типа, сделать "маршрутизацию".. коряво, не спорю, но других вариантов у меня пока нет..   Вроде у меня сейчас так и есть. Только маршрутизацию не настраивал - всё через субж.   Цитата: 2. не использовать прокси совсем, а сделать расшаренное и-нет подключение, задав в лине в качестве шлюза вин7..   Тогда я так понимаю не получится ограничить доступ к инету для разных пользователей.   Цитата: и да, про "геморой": а в чём, сопссно, проблема? подай завку на вторую тачку, пущай сделают в сквиде доступ с двух адресов, и привяжут их как угодно.. если это для работы - вряд-ли кто-то будет шибко сопротивляться.. ну а если "просто так", тогда придумай/обоснуй "производственную необходимость".. Тогда по нашим правилам придётся врезать его в локальную сеть организации, что делать очень не хочется.   Только что попробовал на машине 2) работу через субж - та же проблема, что и на 3).   Цитата: возможно (но не факт), что каким-то макаром при посылке запроса от внутреннего клиента на линухе проходит передача мак-адреса от него (в самом пакете по локальной сети) В общем видимо придётся ставить снифер и смотреть/сравнивать заголовки. Всего записей: 2492 | Зарегистр. 20-04-2004 | Отправлено: 09:39 26-06-2013

KChernov Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zbugz Цитата: А можно ли вести лог по каждому конкретному ip ? Ну в разные файлы типа Судя по документации нельзя. А ODBC использовать не вариант? Всего записей: 2492 | Зарегистр. 20-04-2004 | Отправлено: 23:13 26-06-2013

TheBarmaley Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KChernov Цитата: Вроде у меня сейчас так и есть т.е. оба диапазона адресов (ХР/7 и 7/линь)) не попадают в корпоративную сеть? т.е., к примеру, корпоративка = класс А, ХР-7 = класс В, а 7-линь = класс С.. тогда всё должно работать правильно и нигде никаких отлупов (конфликтов адресов) быть  не может.. и в этом случае маршрутизация и не нужна - всё должно работать и через прокси, неважно, сколько их в твоей цепочке..   вот ещё что - попробуй покрутить на своих прокси тайм-ауты.. скажем, на ХР оставить дефольт, а на 7-ке понизить их раза в 2.. или наоборот - на ХР увеличить, а на 7-ке дефольт.. смысл - возможно (но, опять же, не факт) на "колхозном" сквиде есть ограничения по числу запросов в единицу времени.. я в своё время подстраивал эти значения под свой канал, т.к. периодически были отлупы.. правда, ошибка была не в авторизации, а в недоступности удалённых хостов.. zbugz Цитата: А мне кто нить подскажет про логи ? если всё ещё интересует настройка WrSpy, читай в доке файлик 3proxy_for_dummies.rtf.. там указан нужный формат лога 3прокси, с которым этот анализатор будет корректно работать.. ну а остальная настройка спая должна быть понятна из чтения факов на его оф.сайте.. ;) Всего записей: 17767 | Зарегистр. 07-06-2006 | Отправлено: 07:16 27-06-2013

KChernov Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TheBarmaley Цитата: т.е. оба диапазона адресов (ХР/7 и 7/линь)) не попадают в корпоративную сеть? т.е., к примеру, корпоративка = класс А, ХР-7 = класс В, а 7-линь = класс С..   Да, 0-1 - класс В, а 1-2 и 2-3 - класс С, но с разными адресами в 3-м байте (слева).     Цитата: вот ещё что - попробуй покрутить на своих прокси тайм-ауты.. скажем, на ХР оставить дефольт, а на 7-ке понизить их раза в 2.. или наоборот - на ХР увеличить, а на 7-ке дефольт.. смысл - возможно (но, опять же, не факт) на "колхозном" сквиде есть ограничения по числу запросов в единицу времени.. я в своё время подстраивал эти значения под свой канал, т.к. периодически были отлупы..   Спасибо, попробую. Всего записей: 2492 | Зарегистр. 20-04-2004 | Отправлено: 09:15 27-06-2013

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74

Компьютерный форум Ru.Board » Компьютеры » Программы » 3proxy

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование