Регистрация...

Eserv Forum / E4 / Proxy / Проблемы с управлением прокси

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Установил E4Proxy взамен Е3. Но, возможно, что то перемудрил с настройками — как прокси он работает, но управление я могу получить только при доступе на localhost. При доступе через IE по имени или IP-адресу, даже с самого сервера, в доступе мне отказано. Вот так выглядят права доступа и проект.
Файл: описание файла 1 [337408 bytes]
 
Комментарии к этой версии (25.11.2010 14:58) [~Levin] 5d15ee59
АвторДатаТекстtags
Levin25.11.2010 15:09
Похоже не работают права доступа вообще. У меня доступ типа basic и спрашиваеи пароль (действительно спрашивает), но войти может любой юзер из локального домена, даже отсутствующий в списках EPROXY! При этом в acWeb.log такая запись

LMGTW-DOMAIB\PATS auth:not_my_domain
AuthServer: . Auth failed: 1326 AuthServer: LMGTW-DOMAIN Auth OK zaharov — NT AD login OK, UID=13060
NT-пользователь zaharov не зарегистрирован!
Добавляю в проект N0 с ролью 'NT-imported'.
AddUser:zaharov,*ПАРОЛЬ*- OK! uid=41
Zaharov auth:not_my_domain
wikipost
Levin25.11.2010 15:32
Управление EPROXY c cамого сервера — есть доступ любой (неправильно настроен IE был). Но с других компьютеров в локальной сети, для которых открыт доступ по их IP — авторизация не проходит. И по-прежнему, добавляются любые юзеры из локального NT-домена. (С ролью NT-imported).
wikipost
ac26.11.2010 03:39
Для управления — уберите все эти */e4i/* из ACL. И в браузере настройте "не использовать прокси для локальных адресов" и "для такого-то IP" (IP вашего Eproxy).

Роль NT-imported вы в ACL заблокировали, значит в интернет их Eproxy не пускает, так?
wikipost
Levin26.11.2010 09:27
Роль NT-imported вы в ACL заблокировали, значит в интернет их Eproxy не пускает, так?
Очень даже пускает! В этом то вся проблема. Такое впечатление, что список ACL просто не работает — эти люди работают из подсетей 192.168.1.* и 192.168.3.*, которые также заблокированы в ACL.

Что касается настроек браузеров:
У меня два прокси-сервера.
На одном полный комплект EServ4/Eproxy, почтовый домен и прочее. Он работает в почти год и с него я копировал часть настроек ACL.
Второй — голый прокси для работы в интернете из подсети 192.168.2.* (отдельный оффис). До понедельника там стоял Е3 — заменяю на Proxy4. Вот с ним то эти проблемы.
При этом в этот Proxy4 я не могу войти с браузера НА КОТОРОМ НОРМАЛЬНО УПРАВЛЯЕТСЯ первый EServ4/Eproxy! Т.е. браузеры настроены правильно.
wikipost
ac26.11.2010 09:50
Levin пишет: Такое впечатление, что список ACL просто не работает

Давайте заглянем в лог E4\DATA\log\HTTP-PROXY\2010-11-26-log.txt и посмотрим, какие правила ACL срабатывают и как.

Levin пишет: При этом в этот Proxy4 я не могу войти с браузера НА КОТОРОМ НОРМАЛЬНО УПРАВЛЯЕТСЯ первый EServ4/Eproxy!

"Не могу войти" в каком конкретно визуальном эффекте выражается — какой вопрос в окне логина или какая страница с ошибкой?
wikipost
Levin26.11.2010 10:56
По первому вопросу — сейчас поеду в тот оффис и узнаю — дистанционно мне в этот комп не войти.
По второму — Вызываю http://192.168.2.5:2009/e4i/frame.htm#
он сообщает — требуется авторизация / сайт говорит ADMIN — ввожу логин/пароль — возвращаюсь в то же меню. Логин admin — пользователь с ролью администратор. Пароль правильный т.к. прокси в интернет с этим паролем пропускает. Пробовал другого пользователя с той же ролью — тот же результат.
wikipost
ac26.11.2010 11:24
Для входа на 2009 произвольный администратор не годится. Нужен supervisor — тот логин, который вы вводили при установке. Он в E4.ini хранится.
wikipost
Levin26.11.2010 11:44
Там сидит Admin. Но я его засунул в проект/домен. Удалил — заработало!

По первому вопросу — вот кусочек протокола:

2010-11-26 10:10:25; 192.168.1.86;46229;0;2;219;WRK04@Server-I (0,43,/NT-imported,[NULL],_4(0)) ADV_BLOCK/200 334 GET http://www.yandex.ru/ DIRECT/ - 0 46229 46229 Basic(WRK04) 1525;5821;0;0 0;;(WRK04@Server-I,0);Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727) При этом он появляется в списке пользователей!
wikipost
ac26.11.2010 11:51
Приведенный пример лога — о том, как пользователя WRK04 с ролью NT-imported не пустили на www.yandex.ru. (ADV_BLOCK) Т.е. в тот момент ACL таки работал (конкретно правило N4 из списка сбросило права доступа в 0 — "_4(0)")

А чтобы разобраться с тем что "список ACL просто не работает" нам нужен пример (из лога) того, что он не работает, т.е. что он пускает в интернет (TCP_MISS) не смотря на подходящие блокировки.
wikipost
Levin26.11.2010 12:09
С пропуском в интернет понял — буду искать. А как быть с тем, что NT-imported добавляются в список пользователей?
И попутный вопрос — в Учетные записи/попытки авторизации добавляются не прошедшие попытки авторизации?
wikipost
ac26.11.2010 12:16
Levin пишет: А как быть с тем, что NT-imported добавляются в список пользователей?

Пусть добавляются. Они же не мешают? (сидят в отдельном проекте, без прав на интернет; а если проект без домена, то они и без почты) Зато вы знаете, что кто-то вводит не те логины. Или можете при необходимости одним махом переключиться на NT-авторизацию.

Levin пишет: в Учетные записи/попытки авторизации добавляются не прошедшие попытки авторизации?

Да. Т.е. "подозрительные лица".
wikipost
Levin26.11.2010 12:18
Вот, вроде первая попытка авторизации при которой он добавляется:

2010-11-26 10:10:21; 192.168.1.86;46229;0;1;250;wrk04@Server-I (0,43,/,[NULL],_4(0)) ADV_BLOCK/200 334 GET http://www.yandex.ru/ DIRECT/ - 0 46229 46229 Basic(wrk04) 1336;2836;0;0 0;;(wrk04@Server-I,0);Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727)
wikipost
Levin26.11.2010 12:24
А вот пользователь Protas проходит на сайт Pogoda.ru (сам делал)

2010-11-26 12:24:38; 192.168.2.44;5068;0;1;1797;Protas@Server-I (0,44,/NT-imported,[NULL],) TCP_MISS/200 359 GET http://an.yandex.ru/count/F2CdornX5nC40000ZhUyzyu4XPi92PQgt8b-aRF8K0e9am9_0W00=g1z81vK2cmHhK3QQggLL0PAcSMuCZxGoNau5dxPS-FmDVGC0=qOWGQ9K2cm5kGucNl0kO1PobMCptcgfjHKoIge4S1PseVUW1ZxTY6-y6dx0_92a4cGwWaDGmGNi6=eonZjvK2cm5kGpA9bN8qc8-wdALOpFUQh3cyBPAXhWS9dQZAx0EFh9J2jv-naH5-39a6e90r345y1W00=FVMjDPK2cm5kGpE9cMhWc8-wdALOpFUQfPqz19AjHROKdPnb8u--j9iU3f-ooZcm3vbNe9342K5y1W00=ZqhSevK2cm5kGpI9gHbi5PXOdALOpFUQgcr5J9Agy4m9dQg3LG6Fjs8RxmQVi3yaAGIP3g2GSG91VGO0?test-tag=68448313 DIRECT/213.180.204.190 - 0 127.0.0.1 5068 5068 00-0E-7B-7E-AD-5D Basic(Protas) 199;558;517;185 0;;(Protas@Server-I,254810);Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
wikipost
ac26.11.2010 12:24
Причина добавления NT-Imported понятна и так — если в списке пользователей E4 нет подходящего логина (по имени:паролю), а в Windows-домене есть, то пользователь автодобавляется с ролью по умолчанию (и вы этой роли можете не дать прав, т.е. считать, что их нет, если так требуется). Немного подробнее это обсуждалось здесь и описано в документации.
wikipost
ac26.11.2010 12:27
ред: 26.11.2010 12:37
Levin пишет: А вот пользователь Protas проходит на сайт Pogoda.ru

Между 10 и 12 часами набор правил не менялся? И это из лога того же самого прокси (из ваших двух)? Если тот же Protas пойдет на тот же www.yandex.ru, куда не пустили wrk04, то тоже не заблокируется?
wikipost
Levin26.11.2010 12:31
Там, как я понял, NTLM авторизация (или смешанная). А у меня голый Basic?
wikipost
ac26.11.2010 12:33
По логу у вас "голый Basic", да. Но это не мешает по известному (от basic'а) имени:паролю проверить, есть ли такой пользователь в NT.
wikipost
ac26.11.2010 12:35
ac пишет: Между 10 и 12 часами набор правил не менялся?

И какой там вообще набор правил в ACL сейчас? Остался тот, что на картинке из первого поста?
wikipost
Levin26.11.2010 12:39
Набор правил не менялся и это точно тот лог. И вот я с того же компьютера снова вхожу в интернет, ка Protas

2010-11-26 12:39:14; 192.168.2.44;8274;0;1;515;Protas@Server-I (0,44,/NT-imported,[NULL],) TCP_MISS/200 96258 GET http://188.127.243.185/images/0000785/0000785711/0/script.js?606383 DIRECT/188.127.243.185 application/x-javascript 0 127.0.0.1 8274 8274 00-0E-7B-7E-AD-5D Basic(Protas) 186908;850;700;186860 0;;(Protas@Server-I,1287004);Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) 2010-11-26 12:39:14; 192.168.1.220;8278;0;1;47;- (0,0,/,[],) TCP_DENIED/407 112 CONNECT mrim.mail.ru:80 DIRECT/ - 0 8278 8278 unknown() 2382;1808;0;0 0;;(192.168.1.220,0);Mozilla/4.0 2010-11-26 12:39:14; 192.168.2.59;8276;0;1;266;PATS@pats (0,30,administrators/User,[NULL],) TCP_MISS/200 358 GET http://www.google-analytics.com/__utm.gif?utmwv=1.3&utmn=507943929&utmcs=windows-1251&utmsr=1280x1024&utmsc=32-bit&utmul=ru&utmje=0&utmfl=-&utmdt=Your%20games&utmhn=ajaxplay.com&utmhid=1260032505&utmr=-&utmp=/en/play/now/index.html&utmac=UA-692962-1&utmcc=__utma%3D244649301.840948782.1283319082.1290685208.1290753103.100%3B%2B__utmz%3D244649301.1283319082.1.1.utmccn%3D(direct)%7Cutmcsr%3D(direct)%7Cutmcmd%3D(none)%3B%2B__utmv%3D244649301.15522%3B DIRECT/74.125.77.100 image/gif 0 127.0.0.1 8276 8276 00-1C-C0-39-D2-5D Basic(PATS) 1345;3669;3375;1233 0;;(PATS@pats,178896796);Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.6.30 Version/10.63 2010-11-26 12:39:14; 192.168.1.220;8279;0;1;63;- (0,0,/,[],) TCP_DENIED/407 112 CONNECT mrim.mail.ru:5190 DIRECT/ - 0 8279 8279 unknown() 1777;1380;0;0 0;;(192.168.1.220,0);Mozilla/4.0 2010-11-26 12:39:14; 192.168.2.47;8015;0;2;63;- (0,0,administrators/User,[NULL],) TCP_DENIED/407 112 GET http://suggest.yandex.ru/suggest-ya.cgi?v=3&callback=jsonp1290762635402&part=%D0%9F%D0%BE%D0%B2%D0%B5%D1%80%D1%85%D0%BD%D0%BE%D1%81%D1%82%D0%BD%D1%8B%D0%B5+%D0%BD%D0%B0%D1%81%D0%BE%D1%81%D1%8B+%D0%B8+%D0%BD%D0%B0%D1%81%D0%BE%D1%81%D1%8B-%D0%B0%D0%B2%D1%82%D0%BE%D0%BC%D0%B0%D1%82%D1%8B+%D0%94%D0%96%D0%90%D0%9C%D0%91%D0%9E&lr=2&yu=532927021259225395 DIRECT/ - 0 8015 8015 00-1C-C0-59-99-AC Basic() 1777;32111;0;0 0;;(PATS@pats,177921841);Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/1.0.154.48 Safari/525.19 2010-11-26 12:39:14; 192.168.1.220;8280;0;1;94;- (0,0,/,[],) TCP_DENIED/407 112 CONNECT mrim.mail.ru:1863 DIRECT/ - 0 8280 8280 unknown() 1435;1115;0;0 0;;(192.168.1.220,0);Mozilla/4.0 2010-11-26 12:39:14; 192.168.2.44;8277;0;1;578;Protas@Server-I (0,44,/NT-imported,[NULL],) TCP_MISS/200 96258 GET http://217.16.18.163/images/0000785/0000785711/0/script.js?266444 DIRECT/217.16.18.163 application/x-javascript 0 127.0.0.1 8277 8277 00-0E-7B-7E-AD-5D Basic(Protas) 166536;750;621;166493 0;;(Protas@Server-I,1338197);Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) 2010-11-26 12:39:14; 192.168.2.47;8281;0;1;281;PATS@pats (0,30,administrators/User,[NULL],) TCP_MISS/200 396 GET http://suggest.yandex.ru/suggest-ya.cgi?v=3&callback=jsonp1290762635402&part=%D0%9F%D0%BE%D0%B2%D0%B5%D1%80%D1%85%D0%BD%D0%BE%D1%81%D1%82%D0%BD%D1%8B%D0%B5+%D0%BD%D0%B0%D1%81%D0%BE%D1%81%D1%8B+%D0%B8+%D0%BD%D0%B0%D1%81%D0%BE%D1%81%D1%8B-%D0%B0%D0%B2%D1%82%D0%BE%D0%BC%D0%B0%D1%82%D1%8B+%D0%94%D0%96%D0%90%D0%9C%D0%91%D0%9E&lr=2&yu=532927021259225395 DIRECT/87.250.250.63 text/javascript; 0 127.0.0.1 8281 8281 00-1C-C0-59-99-AC Basic(PATS) 1409;4736;4483;1302
wikipost
Levin26.11.2010 12:41
А вот отключение пользователя помогает — против лома нет приема. Главное потом, по рассеянности, не удалить отключенного.
wikipost
Levin26.11.2010 12:48
Набор правил — тот , что на картинке из 1 поста.
wikipost
ac26.11.2010 12:48
Хорошо, тогда давайте смотреть, почему могло то правило N4, которое не пускает wks04, пустить Protas'а (не сработать на него вообще). Заполнены там еще какие-то поля в этом правиле? И номер сборки acWEB какой показывает в "Информация/Программа"?
wikipost
Levin26.11.2010 12:52
Понял, в чем ошибка — в правах доступа в ресурсе пропустил двоеточие для NT-imported . Вставил — заработало. Спасибо!
wikipost
ac26.11.2010 12:57
Ух, и я на картинке проглядел. Но тогда возникает обратный вопрос — почему это неправильное правило сработало на wks04? Или это не у него 4й номер?
wikipost
ac26.11.2010 13:00
А, ну да, на wks04 сработало другое правило, выше, по совпадению IP.
wikipost
Levin26.11.2010 13:29
точно !
wikipost
Работает на Eserv/5.05555 (05.06.2016)