Регистрация...

Eserv Forum / E3 / Eproxy 3 Support / Как блокировать connect в acFP?

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
В ESERV надо было установить правило для доступа к connect. А как быть в acFP?
 
Комментарии к этой версии (17.04.2003 18:33) [~barsuk] a7755304
АвторДатаТекстtags
ReRo05.08.2003 12:40
Если тебя интересует закрытие прокси сервера от программы HTTPort, то она не может ходить через Eproxy если сайт закрыт — выдается ошибка, если нет то проходит.

Мне так и не удалось реализовать обход Eproxy через метод CONNECT.
imported
rvm07.08.2003 05:51
например, можно в black_list вначале разрешить http://* а потом запретить все остальное.

Если нужно просто исключить метод CONNECT, то можно сделать проверку в OnRequest.rules.txt

METHOD =~ CONNECT | StopProtocol \EOF
imported
A V L19.08.2003 16:24
А если надо разрешить, но не всем а только прошедшим авторизацию на прокси (а еще лучше отдельной группе среди прошедших авторизацию)?
imported
pig19.08.2003 17:22
Именно HTTPS? А есть ли в этом большой физический смысл, если можно выдавать авторизованный доступ/запрет на хосты?

Можно попробовать так (опять же в OnRequest.rules плагина black_list):
METHOD =~ CONNECT [IF] UID @ 0= | Unauthorized_temp \EOF User S" <path>\HTTPSUsers.txt" IsInFile 0= | Unauthorized_temp \EOF [THEN]

Unauthorized_temp предпочтительнее, чем StopProtocol — он корректно закрывает соединение с выдачей в браузер кода завершения (в авторском варианте — 404) и странички.

Файл HTTPSUsers.txt имеет вид:
USERNAME User1 User2 ...
где USERNAME — заголовочная строка. Имена допущенных юзеров перечисляются начиная со второй строки.

imported
IA31.10.2003 14:50
А вот как А как заблочить CONNECT для всех пользователей, кроме например юзера admin , но разрешить для нескольких сайтов из списка ?!
imported
pig31.10.2003 22:37
METHOD =~ CONNECT [IF] UID @ 0= | Unauthorized_temp \EOF TARGET-HOST S" <path>\FriendlyHosts.txt" IsInFile ?DUP 0= | User S" <path>\HTTPSUsers.txt" IsInFile 0= | Unauthorized_temp \EOF [THEN]

Чтобы не особо задумываться и вообще дла гибкости. Пропускает если либо хост в списке, либо пользователь в списке.
imported
IA03.11.2003 09:53
TO: pig

А уточните please как правильно путь к файлу писать (пример) и еще как правильно (с заголовком или без и с каким файл хостов) а то у меня что-то последняя конструкция в onRequest.rules.txt не работает ;
imported
pig03.11.2003 11:26
Пути как обычно — либо относительно каталога с Eproxy.exe, либо абсолютные. Пример:
conf\http-proxy\plugins\black_list\HTTPSUsers.txt


Все списки, которые скармливаются функции IsInFile, одного формата — с заголовком. А не работает как? Про ошибки в логе что-нибудь пишет?
imported
IA03.11.2003 11:38
Вот я и спросил — каков конкретно должен быть заголовок в файле FriendlyHosts.txt

с path все ясно — спасибо!

Кстати, а где лежит страничка которая выдается по Unauthorized_temp ?!
imported
pig03.11.2003 12:32
IA пишет: Вот я и спросил — каков конкретно должен быть заголовок в файле FriendlyHosts.txt

Для IsInFile — по барабану, она заголовки просто игнорирует. А редактор списков его всё равно не знает.

IA пишет: Кстати, а где лежит страничка которая выдается по Unauthorized_temp ?!

Зашита внутри Eproxy. Если хочется свою, то я тут где-то приводил ссылку и пояснения.
imported
twincode01.08.2007 16:30
Подскажите как сделать доступ по ip ? И не совсем понятно в каком виле при basic авторизации должны храниться пароли?Если не в открытом види то в md5,тогда как генерить?
imported
pig01.08.2007 16:43
twincode пишет: Подскажите как сделать доступ по ip ?

Что имеется в виду?

twincode пишет: И не совсем понятно в каком виле при basic авторизации должны храниться пароли?

Где храниться?
imported
twincode01.08.2007 16:52
acFP формат файла прописаного в этом файле-->
\conf\http-proxy\plugins\authorization\AuthFile.rules.txt
UsersFileE2: c:\eserv2\conf\userbase.txt

userbase формат? и как его вести без установки eserv

далее как сделать грубо говоря whitelist формата скажем такого

ip ip1 ip2 и т.д.

whitelist'у давать выход в инет остальным нет.
И последний вопрос можно ли брать учетки из домен и как.
Заранее спасибо.
imported
pig01.08.2007 17:20
twincode пишет: acFP формат файла прописаного в этом файле-->
\conf\http-proxy\plugins\authorization\AuthFile.rules.txt
UsersFileE2: c:\eserv2\conf\userbase.txt

userbase формат? и как его вести без установки eserv

А его вообще с помощью Eserv/3 не создать. Это унаследованный список пользователей формата Eserv/2. Для Eserv/3 есть более другие возможности.

twincode пишет: далее как сделать грубо говоря whitelist формата скажем такого

ip ip1 ip2 и т.д.

whitelist'у давать выход в инет остальным нет.

Список IpMacAuth.

twincode пишет: И последний вопрос можно ли брать учетки из домен и как.

Можно. Насчёт как — скачайте отсюда документацию и почитайте в "Как это сделано" про авторизацию. В этой части (и на этом уровне рассмотрения) отличий от стандартной конфигурации нет.
imported
twincode02.08.2007 00:16
pig пишет:
Список IpMacAuth.


Сенькс,пошел читать документацию.
imported
twincode02.08.2007 09:15
Читал,читал инструкцию походу возник вопрос,а применимо ли все это к acfp который на sourceforge.Там половина кофигов не хватает. Если есть возможность можете объяснить куда и что прописать в фриварный acfp что бы по ip ограничиать доступ?
imported
pig02.08.2007 11:20
Я фриварного конфига и не видел 8O
Там основное правило — http-proxy\OnRequest.rules.txt
Из него вызывается http-proxy\ip-list.rules.txt
Вот там и можно порезвиться.
PeerIP= xxx.xxx.xxx.xxx | ...тут разрешение...
...а тут запрет — для всех остальных...
imported
twincode02.08.2007 13:04
ip-list.rules.txt

IP= 127.0.0.1 | TRUE \EOF IP= 182.168.1.1 | TRUE \EOF FALSE


OnRequest.rules.txt
IsLocalWebRequest | S" http-proxy\LocalWeb" SetAction \EOF S" http-proxy\ip-list" RulesFile STR@ FileExists 0= | LocalRedirect create_ip_list.html \EOF S" http-proxy\ip-list" EvalRules 0= | LocalRedirect forbidden.html \EOF S" http-proxy\OnRequestPlugins" EvalRules


что править можно пример ip-list.rules.txt ?
imported
pig02.08.2007 13:21
Вот так примерно:
IP= 127.0.0.1 | TRUE \EOF IP= 182.168.1.1 [IF] PeerIP= xxx.xxx.xxx.xxx | TRUE \EOF PeerIP= yyy.yyy.yyy.yyy | TRUE \EOF [THEN] FALSE
imported
twincode02.08.2007 13:50
pig пишет: Вот так примерно:
IP= 127.0.0.1 | TRUE \EOF IP= 182.168.1.1 [IF] PeerIP= xxx.xxx.xxx.xxx | TRUE \EOF PeerIP= yyy.yyy.yyy.yyy | TRUE \EOF [THEN] FALSE

Спасибо все заработало!
imported
twincode02.08.2007 16:51
Хотел еще поспрашивать про nt авторизацию ,может если есть время подскажете можно ли ее реализовать на acfp? там есть такие файлиы
Authorization.rules.txt
AuthMethod AuthMethod: http-proxy\plugins\authorization\AuthFile \ AuthMethod: NtLogon LOGIN \ UID @ 0= FALSE


AuthFile.rules.txt

UsersFileE2: c:\eserv2\conf\userbase.txt


activate.f
IN-PROTOCOL: HTTP-PROXY : PROXY-AUTHORIZATION: Authorization ; PROTOCOL;


index.f
USER $AUTH-DATA USER $REALM : REALM $REALM @ STR@ ; : Authorization { \ in } >IN @ -> in BL SKIP BL PARSE S" Basic" COMPARE 0= IF BL SKIP BL PARSE BasicAuthorization User Pass SetUser ELSE in >IN ! 1 PARSE $AUTH-DATA S! THEN ; : TCP_DENIED " HTTP/1.0 407 Unauthorized Server: {PROG-NAME} Content-Type: text/html Proxy-Authenticate: Basic realm={REALM} Proxy-Connection: close Unauthorized ({REALM}) " FPUTS TRUE TO vStopProtocol 407 TO vHttpReplyCode ; : Unauthorized ( -- ) S" TCP_DENIED" SetAction ParseStr $REALM S! ;


Помогите если сможете. Спасибо.
imported
pig02.08.2007 17:51
Можно попробовать подсадить в acFP плагины и правила от Eproxy. Вдруг да прокатит.
imported
Работает на Eserv/5.05567 (10.02.2020)