* Проблемы с управлением прокси

Установил E4Proxy взамен Е3. Но, возможно, что то перемудрил с настройками — как прокси он работает, но управление я могу получить только при доступе на localhost. При доступе через IE по имени или IP-адресу, даже с самого сервера, в доступе мне отказано. Вот так выглядят права доступа и проект.
Файл:

описание файла 1 [337408 bytes]

Автор

Дата

Текст

tags

Levin

25.11.2010 15:09

Похоже не работают права доступа вообще. У меня доступ типа basic и спрашиваеи пароль (действительно спрашивает), но войти может любой юзер из локального домена, даже отсутствующий в списках EPROXY! При этом в acWeb.log такая запись

LMGTW-DOMAIB\PATS auth:not_my_domain
AuthServer: . Auth failed: 1326 AuthServer: LMGTW-DOMAIN Auth OK zaharov — NT AD login OK, UID=13060
NT-пользователь zaharov не зарегистрирован!
Добавляю в проект N0 с ролью 'NT-imported'.
AddUser:zaharov,*ПАРОЛЬ*- OK! uid=41
Zaharov auth:not_my_domain

wikipost

Levin

25.11.2010 15:32

Управление EPROXY c cамого сервера — есть доступ любой (неправильно настроен IE был). Но с других компьютеров в локальной сети, для которых открыт доступ по их IP — авторизация не проходит. И по-прежнему, добавляются любые юзеры из локального NT-домена. (С ролью NT-imported).

wikipost

26.11.2010 03:39

Для управления — уберите все эти */e4i/* из ACL. И в браузере настройте "не использовать прокси для локальных адресов" и "для такого-то IP" (IP вашего Eproxy).

Роль NT-imported вы в ACL заблокировали, значит в интернет их Eproxy не пускает, так?

wikipost

Levin

26.11.2010 09:27

Роль NT-imported вы в ACL заблокировали, значит в интернет их Eproxy не пускает, так?
Очень даже пускает! В этом то вся проблема. Такое впечатление, что список ACL просто не работает — эти люди работают из подсетей 192.168.1.* и 192.168.3.*, которые также заблокированы в ACL.

Что касается настроек браузеров:
У меня два прокси-сервера.
На одном полный комплект EServ4/Eproxy, почтовый домен и прочее. Он работает в почти год и с него я копировал часть настроек ACL.
Второй — голый прокси для работы в интернете из подсети 192.168.2.* (отдельный оффис). До понедельника там стоял Е3 — заменяю на Proxy4. Вот с ним то эти проблемы.
При этом в этот Proxy4 я не могу войти с браузера НА КОТОРОМ НОРМАЛЬНО УПРАВЛЯЕТСЯ первый EServ4/Eproxy! Т.е. браузеры настроены правильно.

wikipost

26.11.2010 09:50

Levin пишет: Такое впечатление, что список ACL просто не работает

Давайте заглянем в лог E4\DATA\log\HTTP-PROXY\2010-11-26-log.txt и посмотрим, какие правила ACL срабатывают и как.

Levin пишет: При этом в этот Proxy4 я не могу войти с браузера НА КОТОРОМ НОРМАЛЬНО УПРАВЛЯЕТСЯ первый EServ4/Eproxy!

"Не могу войти" в каком конкретно визуальном эффекте выражается — какой вопрос в окне логина или какая страница с ошибкой?

wikipost

Levin

26.11.2010 10:56

По первому вопросу — сейчас поеду в тот оффис и узнаю — дистанционно мне в этот комп не войти.
По второму — Вызываю

http://192.168.2.5:2009/e4i/frame.htm#
он сообщает — требуется авторизация / сайт говорит ADMIN — ввожу логин/пароль — возвращаюсь в то же меню. Логин admin — пользователь с ролью администратор. Пароль правильный т.к. прокси в интернет с этим паролем пропускает. Пробовал другого пользователя с той же ролью — тот же результат.

wikipost

26.11.2010 11:24

Для входа на 2009 произвольный администратор не годится. Нужен supervisor — тот логин, который вы вводили при установке. Он в E4.ini хранится.

wikipost

Levin

26.11.2010 11:44

Там сидит Admin. Но я его засунул в проект/домен. Удалил — заработало!

По первому вопросу — вот кусочек протокола:

2010-11-26 10:10:25; 192.168.1.86;46229;0;2;219;WRK04@Server-I (0,43,/NT-imported,[NULL],_4(0)) ADV_BLOCK/200 334 GET http://www.yandex.ru/ DIRECT/ - 0 46229 46229 Basic(WRK04) 1525;5821;0;0 0;;(WRK04@Server-I,0);Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727) При этом он появляется в списке пользователей!

wikipost

26.11.2010 11:51

Приведенный пример лога — о том, как пользователя WRK04 с ролью NT-imported не пустили на www.yandex.ru. (ADV_BLOCK) Т.е. в тот момент ACL таки работал (конкретно правило N4 из списка сбросило права доступа в 0 — "_4(0)")

А чтобы разобраться с тем что "список ACL просто не работает" нам нужен пример (из лога) того, что он не работает, т.е. что он пускает в интернет (TCP_MISS) не смотря на подходящие блокировки.

wikipost

Levin

26.11.2010 12:09

С пропуском в интернет понял — буду искать. А как быть с тем, что NT-imported добавляются в список пользователей?
И попутный вопрос — в Учетные записи/попытки авторизации добавляются не прошедшие попытки авторизации?

wikipost

26.11.2010 12:16

Levin пишет: А как быть с тем, что NT-imported добавляются в список пользователей?

Пусть добавляются. Они же не мешают? (сидят в отдельном проекте, без прав на интернет; а если проект без домена, то они и без почты) Зато вы знаете, что кто-то вводит не те логины. Или можете при необходимости одним махом переключиться на NT-авторизацию.

Levin пишет: в Учетные записи/попытки авторизации добавляются не прошедшие попытки авторизации?

Да. Т.е. "подозрительные лица".

wikipost

Levin

26.11.2010 12:18

Вот, вроде первая попытка авторизации при которой он добавляется:

2010-11-26 10:10:21; 192.168.1.86;46229;0;1;250;wrk04@Server-I (0,43,/,[NULL],_4(0)) ADV_BLOCK/200 334 GET http://www.yandex.ru/ DIRECT/ - 0 46229 46229 Basic(wrk04) 1336;2836;0;0 0;;(wrk04@Server-I,0);Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727)

wikipost

Levin

26.11.2010 12:24

А вот пользователь Protas проходит на сайт Pogoda.ru (сам делал)

2010-11-26 12:24:38; 192.168.2.44;5068;0;1;1797;Protas@Server-I (0,44,/NT-imported,[NULL],) TCP_MISS/200 359 GET http://an.yandex.ru/count/F2CdornX5nC40000ZhUyzyu4XPi92PQgt8b-aRF8K0e9am9_0W00=g1z81vK2cmHhK3QQggLL0PAcSMuCZxGoNau5dxPS-FmDVGC0=qOWGQ9K2cm5kGucNl0kO1PobMCptcgfjHKoIge4S1PseVUW1ZxTY6-y6dx0_92a4cGwWaDGmGNi6=eonZjvK2cm5kGpA9bN8qc8-wdALOpFUQh3cyBPAXhWS9dQZAx0EFh9J2jv-naH5-39a6e90r345y1W00=FVMjDPK2cm5kGpE9cMhWc8-wdALOpFUQfPqz19AjHROKdPnb8u--j9iU3f-ooZcm3vbNe9342K5y1W00=ZqhSevK2cm5kGpI9gHbi5PXOdALOpFUQgcr5J9Agy4m9dQg3LG6Fjs8RxmQVi3yaAGIP3g2GSG91VGO0?test-tag=68448313 DIRECT/213.180.204.190 - 0 127.0.0.1 5068 5068 00-0E-7B-7E-AD-5D Basic(Protas) 199;558;517;185 0;;(Protas@Server-I,254810);Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

wikipost

26.11.2010 12:24

Причина добавления NT-Imported понятна и так — если в списке пользователей E4 нет подходящего логина (по имени:паролю), а в Windows-домене есть, то пользователь автодобавляется с ролью по умолчанию (и вы этой роли можете не дать прав, т.е. считать, что их нет, если так требуется). Немного подробнее это обсуждалось

здесь и описано в

документации.

wikipost

26.11.2010 12:27
ред: 26.11.2010 12:37

Levin пишет: А вот пользователь Protas проходит на сайт Pogoda.ru

Между 10 и 12 часами набор правил не менялся? И это из лога того же самого прокси (из ваших двух)? Если тот же Protas пойдет на тот же www.yandex.ru, куда не пустили wrk04, то тоже не заблокируется?

wikipost

Levin

26.11.2010 12:31

Там, как я понял, NTLM авторизация (или смешанная). А у меня голый Basic?

wikipost

26.11.2010 12:33

По логу у вас "голый Basic", да. Но это не мешает по известному (от basic'а) имени:паролю проверить, есть ли такой пользователь в NT.

wikipost

26.11.2010 12:35

ac пишет: Между 10 и 12 часами набор правил не менялся?

И какой там вообще набор правил в ACL сейчас? Остался тот, что на картинке из первого поста?

wikipost

Levin

26.11.2010 12:39

Набор правил не менялся и это точно тот лог. И вот я с того же компьютера снова вхожу в интернет, ка Protas

2010-11-26 12:39:14; 192.168.2.44;8274;0;1;515;Protas@Server-I (0,44,/NT-imported,[NULL],) TCP_MISS/200 96258 GET http://188.127.243.185/images/0000785/0000785711/0/script.js?606383 DIRECT/188.127.243.185 application/x-javascript 0 127.0.0.1 8274 8274 00-0E-7B-7E-AD-5D Basic(Protas) 186908;850;700;186860 0;;(Protas@Server-I,1287004);Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) 2010-11-26 12:39:14; 192.168.1.220;8278;0;1;47;- (0,0,/,[],) TCP_DENIED/407 112 CONNECT mrim.mail.ru:80 DIRECT/ - 0 8278 8278 unknown() 2382;1808;0;0 0;;(192.168.1.220,0);Mozilla/4.0 2010-11-26 12:39:14; 192.168.2.59;8276;0;1;266;PATS@pats (0,30,administrators/User,[NULL],) TCP_MISS/200 358 GET http://www.google-analytics.com/__utm.gif?utmwv=1.3&utmn=507943929&utmcs=windows-1251&utmsr=1280x1024&utmsc=32-bit&utmul=ru&utmje=0&utmfl=-&utmdt=Your%20games&utmhn=ajaxplay.com&utmhid=1260032505&utmr=-&utmp=/en/play/now/index.html&utmac=UA-692962-1&utmcc=__utma%3D244649301.840948782.1283319082.1290685208.1290753103.100%3B%2B__utmz%3D244649301.1283319082.1.1.utmccn%3D(direct)%7Cutmcsr%3D(direct)%7Cutmcmd%3D(none)%3B%2B__utmv%3D244649301.15522%3B DIRECT/74.125.77.100 image/gif 0 127.0.0.1 8276 8276 00-1C-C0-39-D2-5D Basic(PATS) 1345;3669;3375;1233 0;;(PATS@pats,178896796);Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.6.30 Version/10.63 2010-11-26 12:39:14; 192.168.1.220;8279;0;1;63;- (0,0,/,[],) TCP_DENIED/407 112 CONNECT mrim.mail.ru:5190 DIRECT/ - 0 8279 8279 unknown() 1777;1380;0;0 0;;(192.168.1.220,0);Mozilla/4.0 2010-11-26 12:39:14; 192.168.2.47;8015;0;2;63;- (0,0,administrators/User,[NULL],) TCP_DENIED/407 112 GET http://suggest.yandex.ru/suggest-ya.cgi?v=3&callback=jsonp1290762635402&part=%D0%9F%D0%BE%D0%B2%D0%B5%D1%80%D1%85%D0%BD%D0%BE%D1%81%D1%82%D0%BD%D1%8B%D0%B5+%D0%BD%D0%B0%D1%81%D0%BE%D1%81%D1%8B+%D0%B8+%D0%BD%D0%B0%D1%81%D0%BE%D1%81%D1%8B-%D0%B0%D0%B2%D1%82%D0%BE%D0%BC%D0%B0%D1%82%D1%8B+%D0%94%D0%96%D0%90%D0%9C%D0%91%D0%9E&lr=2&yu=532927021259225395 DIRECT/ - 0 8015 8015 00-1C-C0-59-99-AC Basic() 1777;32111;0;0 0;;(PATS@pats,177921841);Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/1.0.154.48 Safari/525.19 2010-11-26 12:39:14; 192.168.1.220;8280;0;1;94;- (0,0,/,[],) TCP_DENIED/407 112 CONNECT mrim.mail.ru:1863 DIRECT/ - 0 8280 8280 unknown() 1435;1115;0;0 0;;(192.168.1.220,0);Mozilla/4.0 2010-11-26 12:39:14; 192.168.2.44;8277;0;1;578;Protas@Server-I (0,44,/NT-imported,[NULL],) TCP_MISS/200 96258 GET http://217.16.18.163/images/0000785/0000785711/0/script.js?266444 DIRECT/217.16.18.163 application/x-javascript 0 127.0.0.1 8277 8277 00-0E-7B-7E-AD-5D Basic(Protas) 166536;750;621;166493 0;;(Protas@Server-I,1338197);Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) 2010-11-26 12:39:14; 192.168.2.47;8281;0;1;281;PATS@pats (0,30,administrators/User,[NULL],) TCP_MISS/200 396 GET http://suggest.yandex.ru/suggest-ya.cgi?v=3&callback=jsonp1290762635402&part=%D0%9F%D0%BE%D0%B2%D0%B5%D1%80%D1%85%D0%BD%D0%BE%D1%81%D1%82%D0%BD%D1%8B%D0%B5+%D0%BD%D0%B0%D1%81%D0%BE%D1%81%D1%8B+%D0%B8+%D0%BD%D0%B0%D1%81%D0%BE%D1%81%D1%8B-%D0%B0%D0%B2%D1%82%D0%BE%D0%BC%D0%B0%D1%82%D1%8B+%D0%94%D0%96%D0%90%D0%9C%D0%91%D0%9E&lr=2&yu=532927021259225395 DIRECT/87.250.250.63 text/javascript; 0 127.0.0.1 8281 8281 00-1C-C0-59-99-AC Basic(PATS) 1409;4736;4483;1302

wikipost

Levin

26.11.2010 12:41

А вот отключение пользователя помогает — против лома нет приема. Главное потом, по рассеянности, не удалить отключенного.

wikipost

Levin

26.11.2010 12:48

Набор правил — тот , что на картинке из 1 поста.

wikipost

26.11.2010 12:48

Хорошо, тогда давайте смотреть, почему могло то правило N4, которое не пускает wks04, пустить Protas'а (не сработать на него вообще). Заполнены там еще какие-то поля в этом правиле? И номер сборки acWEB какой показывает в "Информация/Программа"?

wikipost

Levin

26.11.2010 12:52

Понял, в чем ошибка — в правах доступа в ресурсе пропустил двоеточие для NT-imported . Вставил — заработало. Спасибо!

wikipost

26.11.2010 12:57

Ух, и я на картинке проглядел. Но тогда возникает обратный вопрос — почему это неправильное правило сработало на wks04?

Или это не у него 4й номер?