+7 (495) 77-55-991
|
HTTP мимо прокси. Что не так? |
Ответить ![]() |
Автор | |
Teplo Kolomny ![]() Junior member ![]() Регистрация: 09-Янв-18 Статус: Offline Количество сообщений: 53 |
![]() ![]() ![]() ![]() ![]() Добавлено: 24-Май-18 в 10:16 |
День добрый!
Вводная: В сети используется антивирус ESET NOD32. На шлюзе с TI тоже установлен экземпляр этого ПО и настроено зеркалирование антивирусных БД. Т.е. базы данных сигнатур вирусов складываются в специальную папку, откуда сетевые компьютеры могут взять их как с расшаренных ресурсов, так и подключившись к ESET HTTP-серверу на порт 2221. Собственно, проблема: На днях заметил, что на сервере терминалов антивирус уже полторы недели перестал обновляться с зеркала по HTTP. При этом другие сервера и компьютеры обновлялись с зеркала без проблем. При запуске обновлений вручную после долгих раздумий выдает, что соединение прервано. При этом telnet-ом на 2221 порт приконнектится удается. Но соединение рвется при нажатии на любую клавишу. После суток чесания затылка наконец вспомнил, что в TI в разделе "Пользователи и группы|Свойства" на вкладке "HTTP мимо прокси" установил 2 галочки для неавторизованных пользователей: "Перенаправлять TCP/80 на прокси сервер" и "Блокировать все HTTP запросы мимо прокси сервера". После снятия второй галки все заработало. Засим, такие вопросы: 1. Как TI определяет, что это HTTP-протокол, если соединение идет не на стандартный порт TCP#80? 2. Почему эта галка сказалась только на терминальном сервере? 3. Чем грозит ее снятие для терминального сервера и прочих нетерминальных компьютеров?
|
|
![]() |
|
ScreN ![]() Junior member ![]() ![]() Регистрация: 17-Авг-16 Местонахождение: Мирный (Якутия) Статус: Offline Количество сообщений: 37 |
![]() ![]() ![]() ![]() ![]() |
Снятие галки грозит тем, что неавторизованные пользователи смогут работать мимо прокси сервера. А если галка стоит, то неавторизованные пользователи мимо прокси не пройдут, а так как эти пользователи не заведены на прокси сервере, то и доступа к инету у них не будет. По другому объяснить не могу.
Если пользователь неавторизован, то его перекидывает на прокси сервер для авторизации, если авторизации не прошла то он не получит доступа и мимо прокси работать не сможет. Я это понимаю, как понимаю :) А терминальный сервер как то же авторизован в TI? Он же как то инет получает от прокси?
Редактировал ScreN - 24-Май-18 в 11:09 |
|
![]() |
|
Teplo Kolomny ![]() Junior member ![]() Регистрация: 09-Янв-18 Статус: Offline Количество сообщений: 53 |
![]() ![]() ![]() ![]() ![]() |
Ну на таком уровне я тоже понимаю :)
Вопрос такой: Если пользователь совсем не заведен в TI (ну не создана для него учетка), он считается неавторизированным? А то как бы не вышло, что пользователей в TI совсем нет, а Интернет у них есть. Почему вторая галка сказалась не лучшим способом только на терминальном сервере?
|
|
![]() |
|
ScreN ![]() Junior member ![]() ![]() Регистрация: 17-Авг-16 Местонахождение: Мирный (Якутия) Статус: Offline Количество сообщений: 37 |
![]() ![]() ![]() ![]() ![]() |
У меня допустим вообще отключено автодобавление пользователей. Я ручками всех авторизовываю. Так я так и не понял. Терминальный сервер у тебя авторизован в TI? Добавь его в группу авторизованных пользователей по IP. Потому что на терминальном сервере ты агент не поставишь. Клиент считается авторизованным и может получать доступ во внешку, только если он прошел регистрацию на прокси сервере. Ты можешь его авторизовать как через агент, так и просто по IP дать ему доступ во внешку. В этом случае правила блокировки данной машины работать не будут, потому что она считается авторизованной на прокси. У меня эти галочки которые у тебя, стоят на все группы пользователей по умолчанию. У меня проблем никаких нету. Все пользователи доступ получают. А так как автодобавление пользователей у меня выключено, то никто левый на прокси не постучится, не попадет в группу неавторизованных и не получит доступа соответственно. Пока я его сам не зарегистрирую на сервере. Ну, я думаю ты понял. Если у тебя автодобавление пользователей включено, попробуй с не зарегистрированной машины постучать на прокси. Прокси автоматически перекинет тебя на страницу регистрации, при этом доступа во внешку он не получит Так стоит у меня в настройках. Для неавторизованных запрещен доступ мимо прокси. Внешка соответственно не работает у них. Они мимо прокси пройти не смогут, они все равно на него будут долбится, но он их не пропустит во внешку
Редактировал ScreN - 24-Май-18 в 14:00 |
|
![]() |
|
Teplo Kolomny ![]() Junior member ![]() Регистрация: 09-Янв-18 Статус: Offline Количество сообщений: 53 |
![]() ![]() ![]() ![]() ![]() |
1. Как это не поставлю агент? А как это он у меня там стоит?
![]() IP-терминальный сервер занесен в список терминальных серверов: "Правила|Правила сетей". Все пользователи входят под своими учетками по NTLM-аутентификацией. Я просто заметил, что на сайты, работающие по HTTPS многие заходят без ограничений. Начал разбираться с настройками, всплыли еще более интересные вещи. 2. Так в том то и проблема, что если я ставлю блокировку мимо прокси для неавторизированных, то перестает обновляться антивирь. Причем, только на терминальном сервере.
|
|
![]() |
|
ScreN ![]() Junior member ![]() ![]() Регистрация: 17-Авг-16 Местонахождение: Мирный (Якутия) Статус: Offline Количество сообщений: 37 |
![]() ![]() ![]() ![]() ![]() |
А сам NOD32 работает через прокси, или прокси в нем не прописаны?
|
|
![]() |
|
Teplo Kolomny ![]() Junior member ![]() Регистрация: 09-Янв-18 Статус: Offline Количество сообщений: 53 |
![]() ![]() ![]() ![]() ![]() |
Сам терминальный сервер на TI не авторизируется ни по MAC, ни по IP. Авторизируются пользователи терминальных сеансов. Каждый со своей NTLM-аутентификацией. Это становится возможным, если в TI в "Правилах сетей" прописать этот сервер, как сервер терминалов.
Внешка у самого сервера терминалов отсутствует. Есть только у авторизовавшихся пользователей. А зачем NOD32 на ТС работать через прокси? Он же за обновлениями не во внешку лезет, а на зеркало в локалке. Проблема-то в том, что это зеркало находится на шлюзе и если поставить галку "Блокировать HTTP трафик мимо прокси" для неавторизованных пользователей, то почему-то блокируется доступ к зеркалу для пользователя SYSTEM, от имени которого запущен NOD32 на ТС. А он-то, как раз, в отличие от пользователей терминальных сеансов, на ТИ не авторизуется ... Странно это ... Ему же не надо во внешку лазить. Только к HTTP-серверу на шлюзе. Зачем же его блокировать?
|
|
![]() |
|
ScreN ![]() Junior member ![]() ![]() Регистрация: 17-Авг-16 Местонахождение: Мирный (Якутия) Статус: Offline Количество сообщений: 37 |
![]() ![]() ![]() ![]() ![]() |
Ну, в общем не знаю. Пробуйте, ковыряйтесь, рано или поздно все получится :)
Я просто на расстоянии туго соображаю.
|
|
![]() |
Ответить ![]() |
|
Выберите форум | Ваши права ![]() Вы не можете создавать новые темы в этом форуме Вы не можете отвечать в этом форуме Вы не можете удалять свои сообщения в этом форуме Вы не можете редактировать свои сообщения в этом форуме Вы не можете создать голосование в этом форуме Вы не можете голосовать в этом форуме |
© 2003-2017, ООО «Смарт-Софт». Все логотипы, названия продуктов и компаний являются торговыми марками своих владельцев.
Тел.: +7 (495) 77-55-991 (доб. 6401), e-mail:info@smart-soft.ru |
|
|
![]() |