+7 (495) 77-55-991
Домой Домой > Главный раздел > Traffic Inspector - технические вопросы.
  Новые сообщения Новые сообщения Лента RSS - HTTP мимо прокси. Что не так?
  FAQ FAQ  Поиск форумов   Регистрация Регистрация  Вход Вход

HTTP мимо прокси. Что не так?

 Ответить Ответить
Автор
Текст сообщения
  Тема Поиск Тема Поиск  Параметры темы Параметры темы
Ответить
Создать новую тему
Версия для печати
Перевести Тема
Teplo Kolomny Посмотреть профиль
Профиль участника
Отправить личное сообщение
Поиск сообщений участника
Добавить в друзья

Junior member
Junior member


Регистрация: 09-Янв-18
Статус: Offline
Количество сообщений: 53
Параметры сообщения Параметры сообщения
Ответить
Цитировать Teplo Kolomny
Сообщение
  Спасибо (0) Спасибо(0)
  Цитировать Teplo Kolomny Цитировать  ОтветитьОтветить
Прямая ссылка на это сообщение Тема: HTTP мимо прокси. Что не так?
    Добавлено: 24-Май-18 в 10:16
День добрый!

Вводная:

В сети используется антивирус ESET NOD32. На шлюзе с TI тоже установлен экземпляр этого ПО и настроено зеркалирование антивирусных БД. Т.е. базы данных сигнатур вирусов складываются в специальную папку, откуда сетевые компьютеры могут взять их как с расшаренных ресурсов, так и подключившись к ESET HTTP-серверу на порт 2221.

Собственно, проблема:

На днях заметил, что на сервере терминалов антивирус уже полторы недели перестал обновляться с зеркала по HTTP. При этом другие сервера и компьютеры обновлялись с зеркала без проблем.

При запуске обновлений вручную после долгих раздумий выдает, что соединение прервано.
При этом telnet-ом на 2221 порт приконнектится удается. Но соединение рвется при нажатии на любую клавишу.

После суток чесания затылка наконец вспомнил, что в TI в разделе "Пользователи и группы|Свойства" на вкладке "HTTP мимо прокси" установил 2 галочки для неавторизованных пользователей: "Перенаправлять TCP/80 на прокси сервер" и "Блокировать все HTTP запросы мимо прокси сервера".

После снятия второй галки все заработало.

Засим, такие вопросы:

1. Как TI определяет, что это HTTP-протокол, если соединение идет не на стандартный порт TCP#80?

2. Почему эта галка сказалась только на терминальном сервере?

3. Чем грозит ее снятие для терминального сервера и прочих нетерминальных компьютеров?
Наверх
ScreN Посмотреть профиль
Профиль участника
Отправить личное сообщение
Поиск сообщений участника
Добавить в друзья

Junior member
Junior member
Аватар

Регистрация: 17-Авг-16
Местонахождение: Мирный (Якутия)
Статус: Offline
Количество сообщений: 37
Параметры сообщения Параметры сообщения
Ответить
Цитировать ScreN
Сообщение
  Спасибо (0) Спасибо(0)
  Цитировать ScreN Цитировать  ОтветитьОтветить
Прямая ссылка на это сообщение Добавлено: 24-Май-18 в 10:49
Снятие галки грозит тем, что неавторизованные пользователи смогут работать мимо прокси сервера. А если галка стоит, то неавторизованные пользователи мимо прокси не пройдут, а так как эти пользователи не заведены на прокси сервере, то и доступа к инету у них не будет. По другому объяснить не могу.

Если пользователь неавторизован, то его перекидывает на прокси сервер для авторизации, если авторизации не прошла то он не получит доступа и мимо прокси работать не сможет.

Я это понимаю, как понимаю :)

А терминальный сервер как то же авторизован в TI? Он же как то инет получает от прокси?


Редактировал ScreN - 24-Май-18 в 11:09
Наверх
Teplo Kolomny Посмотреть профиль
Профиль участника
Отправить личное сообщение
Поиск сообщений участника
Добавить в друзья

Junior member
Junior member


Регистрация: 09-Янв-18
Статус: Offline
Количество сообщений: 53
Параметры сообщения Параметры сообщения
Ответить
Цитировать Teplo Kolomny
Сообщение
  Спасибо (0) Спасибо(0)
  Цитировать Teplo Kolomny Цитировать  ОтветитьОтветить
Прямая ссылка на это сообщение Добавлено: 24-Май-18 в 11:11
Ну на таком уровне я тоже понимаю :)

Вопрос такой: Если пользователь совсем не заведен в TI (ну не создана для него учетка), он считается неавторизированным?

А то как бы не вышло, что пользователей в TI совсем нет, а Интернет у них есть.

Почему вторая галка сказалась не лучшим способом только на терминальном сервере?
Наверх
ScreN Посмотреть профиль
Профиль участника
Отправить личное сообщение
Поиск сообщений участника
Добавить в друзья

Junior member
Junior member
Аватар

Регистрация: 17-Авг-16
Местонахождение: Мирный (Якутия)
Статус: Offline
Количество сообщений: 37
Параметры сообщения Параметры сообщения
Ответить
Цитировать ScreN
Сообщение
  Спасибо (0) Спасибо(0)
  Цитировать ScreN Цитировать  ОтветитьОтветить
Прямая ссылка на это сообщение Добавлено: 24-Май-18 в 13:38
Исходное сообщение МУП Тепло Коломны МУП Тепло Коломны :

Ну на таком уровне я тоже понимаю :)

Вопрос такой: Если пользователь совсем не заведен в TI (ну не создана для него учетка), он считается неавторизированным?

А то как бы не вышло, что пользователей в TI совсем нет, а Интернет у них есть.

Почему вторая галка сказалась не лучшим способом только на терминальном сервере?
Если пользователь не добавлен в группу авторизованных пользователей, то он при обращении к прокси попадает в группу неавторизованных пользователей по умолчанию, для прохождения регистрации на прокси сервере и получения доступа во внешку. Пока пользователь находиться в группе "неавторизованные" он не получит доступа во внешку. Для этого эта группа и создана.

У меня допустим вообще отключено автодобавление пользователей. Я ручками всех авторизовываю.

Так я так и не понял. Терминальный сервер у тебя авторизован в TI? Добавь его в группу авторизованных пользователей по IP. Потому что на терминальном сервере ты агент не поставишь.

Клиент считается авторизованным и может получать доступ во внешку, только если он прошел регистрацию на прокси сервере. Ты можешь его авторизовать как через агент, так и просто по IP дать ему доступ во внешку. В этом случае правила блокировки данной машины работать не будут, потому что она считается авторизованной на прокси.

У меня эти галочки которые у тебя, стоят на все группы пользователей по умолчанию. У меня проблем никаких нету. Все пользователи доступ получают. А так как автодобавление пользователей у меня выключено, то никто левый на прокси не постучится, не попадет в группу неавторизованных и не получит доступа соответственно. Пока я его сам не зарегистрирую на сервере.

Ну, я думаю ты понял. Если у тебя автодобавление пользователей включено, попробуй с не зарегистрированной машины постучать на прокси. Прокси автоматически перекинет тебя на страницу регистрации, при этом доступа во внешку он не получит

http://c2n.me/3Umm60X
http://c2n.me/3Ummgjl

Так стоит у меня в настройках. Для неавторизованных запрещен доступ мимо прокси. Внешка соответственно не работает у них. Они мимо прокси пройти не смогут, они все равно на него будут долбится, но он их не пропустит во внешку


Редактировал ScreN - 24-Май-18 в 14:00
Наверх
Teplo Kolomny Посмотреть профиль
Профиль участника
Отправить личное сообщение
Поиск сообщений участника
Добавить в друзья

Junior member
Junior member


Регистрация: 09-Янв-18
Статус: Offline
Количество сообщений: 53
Параметры сообщения Параметры сообщения
Ответить
Цитировать Teplo Kolomny
Сообщение
  Спасибо (0) Спасибо(0)
  Цитировать Teplo Kolomny Цитировать  ОтветитьОтветить
Прямая ссылка на это сообщение Добавлено: 24-Май-18 в 15:56
1. Как это не поставлю агент? А как это он у меня там стоит?Wacko

IP-терминальный сервер занесен в список терминальных серверов: "Правила|Правила сетей".
Все пользователи входят под своими учетками по NTLM-аутентификацией.

Я просто заметил, что на сайты, работающие по HTTPS многие заходят без ограничений. Начал разбираться с настройками, всплыли еще более интересные вещи.

2. Так в том то и проблема, что если я ставлю блокировку мимо прокси для неавторизированных, то перестает обновляться антивирь. Причем, только на терминальном сервере.
Наверх
ScreN Посмотреть профиль
Профиль участника
Отправить личное сообщение
Поиск сообщений участника
Добавить в друзья

Junior member
Junior member
Аватар

Регистрация: 17-Авг-16
Местонахождение: Мирный (Якутия)
Статус: Offline
Количество сообщений: 37
Параметры сообщения Параметры сообщения
Ответить
Цитировать ScreN
Сообщение
  Спасибо (0) Спасибо(0)
  Цитировать ScreN Цитировать  ОтветитьОтветить
Прямая ссылка на это сообщение Добавлено: 25-Май-18 в 03:16
Исходное сообщение МУП Тепло Коломны МУП Тепло Коломны :

1. Как это не поставлю агент? А как это он у меня там стоит?Wacko

IP-терминальный сервер занесен в список терминальных серверов: "Правила|Правила сетей".
Все пользователи входят под своими учетками по NTLM-аутентификацией.

Я просто заметил, что на сайты, работающие по HTTPS многие заходят без ограничений. Начал разбираться с настройками, всплыли еще более интересные вещи.

2. Так в том то и проблема, что если я ставлю блокировку мимо прокси для неавторизированных, то перестает обновляться антивирь. Причем, только на терминальном сервере.
А.. ну значит терминалка все таки авторизована на ТИ и доступ во внешку получает. А инет на терминалки точно есть? Только NOD32 не обновляется? Странное явление, если терминалка авторизована на ТИ и внешка у нее есть, то значит что то с NOD32. Может какие то правила в ТИ блочат его?

А сам NOD32 работает через прокси, или прокси в нем не прописаны?
Наверх
Teplo Kolomny Посмотреть профиль
Профиль участника
Отправить личное сообщение
Поиск сообщений участника
Добавить в друзья

Junior member
Junior member


Регистрация: 09-Янв-18
Статус: Offline
Количество сообщений: 53
Параметры сообщения Параметры сообщения
Ответить
Цитировать Teplo Kolomny
Сообщение
  Спасибо (0) Спасибо(0)
  Цитировать Teplo Kolomny Цитировать  ОтветитьОтветить
Прямая ссылка на это сообщение Добавлено: 25-Май-18 в 12:53
Сам терминальный сервер на TI не авторизируется ни по MAC, ни по IP. Авторизируются пользователи терминальных сеансов. Каждый со своей NTLM-аутентификацией. Это становится возможным, если в TI в "Правилах сетей" прописать этот сервер, как сервер терминалов.

Внешка у самого сервера терминалов отсутствует. Есть только у авторизовавшихся пользователей.

А зачем NOD32 на ТС работать через прокси? Он же за обновлениями не во внешку лезет, а на зеркало в локалке. Проблема-то в том, что это зеркало находится на шлюзе и если поставить галку "Блокировать HTTP трафик мимо прокси" для неавторизованных пользователей, то почему-то блокируется доступ к зеркалу для пользователя SYSTEM, от имени которого запущен NOD32 на ТС. А он-то, как раз, в отличие от пользователей терминальных сеансов, на ТИ не авторизуется ...

Странно это ... Ему же не надо во внешку лазить. Только к HTTP-серверу на шлюзе. Зачем же его блокировать?
Наверх
ScreN Посмотреть профиль
Профиль участника
Отправить личное сообщение
Поиск сообщений участника
Добавить в друзья

Junior member
Junior member
Аватар

Регистрация: 17-Авг-16
Местонахождение: Мирный (Якутия)
Статус: Offline
Количество сообщений: 37
Параметры сообщения Параметры сообщения
Ответить
Цитировать ScreN
Сообщение
  Спасибо (0) Спасибо(0)
  Цитировать ScreN Цитировать  ОтветитьОтветить
Прямая ссылка на это сообщение Добавлено: 26-Май-18 в 05:45
Ну, в общем не знаю. Пробуйте, ковыряйтесь, рано или поздно все получится :)
Я просто на расстоянии туго соображаю.
Наверх
 Ответить Ответить

Выберите форум Ваши права Посмотреть профиль
Вы не можете создавать новые темы в этом форуме
Вы не можете отвечать в этом форуме
Вы не можете удалять свои сообщения в этом форуме
Вы не можете редактировать свои сообщения в этом форуме
Вы не можете создать голосование в этом форуме
Вы не можете голосовать в этом форуме

© 2003-2017, ООО «Смарт-Софт». Все логотипы, названия продуктов и компаний являются торговыми марками своих владельцев.
Тел.: +7 (495) 77-55-991 (доб. 6401), e-mail:info@smart-soft.ru
Рейтинг@Mail.ru Rambler's Top100 www.webmoney.ru