на сайт
на сайт

Поиск  Правила  Войти
Главная страница » Главный раздел » Traffic Inspector - технические вопросы.
Страницы: 1
RSS
HTTP мимо прокси. Что не так?
 
#1
0
24.05.2018 10:16:00
День добрый!

Вводная:

В сети используется антивирус ESET NOD32. На шлюзе с TI тоже установлен экземпляр этого ПО и настроено зеркалирование антивирусных БД. Т.е. базы данных сигнатур вирусов складываются в специальную папку, откуда сетевые компьютеры могут взять их как с расшаренных ресурсов, так и подключившись к ESET HTTP-серверу на порт 2221.

Собственно, проблема:

На днях заметил, что на сервере терминалов антивирус уже полторы недели перестал обновляться с зеркала по HTTP. При этом другие сервера и компьютеры обновлялись с зеркала без проблем.

При запуске обновлений вручную после долгих раздумий выдает, что соединение прервано.
При этом telnet-ом на 2221 порт приконнектится удается. Но соединение рвется при нажатии на любую клавишу.

После суток чесания затылка наконец вспомнил, что в TI в разделе "Пользователи и группы|Свойства" на вкладке "HTTP мимо прокси" установил 2 галочки для неавторизованных пользователей: "Перенаправлять TCP/80 на прокси сервер" и "Блокировать все HTTP запросы мимо прокси сервера".

После снятия второй галки все заработало.

Засим, такие вопросы:

1. Как TI определяет, что это HTTP-протокол, если соединение идет не на стандартный порт TCP#80?

2. Почему эта галка сказалась только на терминальном сервере?

3. Чем грозит ее снятие для терминального сервера и прочих нетерминальных компьютеров?
 
 
 
#2
0
24.05.2018 10:49:00
Снятие галки грозит тем, что неавторизованные пользователи смогут работать мимо прокси сервера. А если галка стоит, то неавторизованные пользователи мимо прокси не пройдут, а так как эти пользователи не заведены на прокси сервере, то и доступа к инету у них не будет. По другому объяснить не могу.

Если пользователь неавторизован, то его перекидывает на прокси сервер для авторизации, если авторизации не прошла то он не получит доступа и мимо прокси работать не сможет.

Я это понимаю, как понимаю :)

А терминальный сервер как то же авторизован в TI? Он же как то инет получает от прокси?




ScreN2018-05-24 11:09:18
 
 
 
#3
0
24.05.2018 11:11:00
Ну на таком уровне я тоже понимаю :)

Вопрос такой: Если пользователь совсем не заведен в TI (ну не создана для него учетка), он считается неавторизированным?

А то как бы не вышло, что пользователей в TI совсем нет, а Интернет у них есть.

Почему вторая галка сказалась не лучшим способом только на терминальном сервере?
 
 
 
#4
0
24.05.2018 13:38:00
Цитата
Ну на таком уровне я тоже понимаю :)

Вопрос такой: Если пользователь совсем не заведен в TI (ну не создана для него учетка), он считается неавторизированным?

А то как бы не вышло, что пользователей в TI совсем нет, а Интернет у них есть.

Почему вторая галка сказалась не лучшим способом только на терминальном сервере?
Если пользователь не добавлен в группу авторизованных пользователей, то он при обращении к прокси попадает в группу неавторизованных пользователей по умолчанию, для прохождения регистрации на прокси сервере и получения доступа во внешку. Пока пользователь находиться в группе "неавторизованные" он не получит доступа во внешку. Для этого эта группа и создана.


У меня допустим вообще отключено автодобавление пользователей. Я ручками всех авторизовываю.

Так я так и не понял. Терминальный сервер у тебя авторизован в TI? Добавь его в группу авторизованных пользователей по IP. Потому что на терминальном сервере ты агент не поставишь.

Клиент считается авторизованным и может получать доступ во внешку, только если он прошел регистрацию на прокси сервере. Ты можешь его авторизовать как через агент, так и просто по IP дать ему доступ во внешку. В этом случае правила блокировки данной машины работать не будут, потому что она считается авторизованной на прокси.

У меня эти галочки которые у тебя, стоят на все группы пользователей по умолчанию. У меня проблем никаких нету. Все пользователи доступ получают. А так как автодобавление пользователей у меня выключено, то никто левый на прокси не постучится, не попадет в группу неавторизованных и не получит доступа соответственно. Пока я его сам не зарегистрирую на сервере.

Ну, я думаю ты понял. Если у тебя автодобавление пользователей включено, попробуй с не зарегистрированной машины постучать на прокси. Прокси автоматически перекинет тебя на страницу регистрации, при этом доступа во внешку он не получит


Так стоит у меня в настройках. Для неавторизованных запрещен доступ мимо прокси. Внешка соответственно не работает у них. Они мимо прокси пройти не смогут, они все равно на него будут долбится, но он их не пропустит во внешку




ScreN2018-05-24 14:00:17
 
 
 
#5
0
24.05.2018 15:56:00
1. Как это не поставлю агент? А как это он у меня там стоит?Wacko

IP-терминальный сервер занесен в список терминальных серверов: "Правила|Правила сетей".
Все пользователи входят под своими учетками по NTLM-аутентификацией.

Я просто заметил, что на сайты, работающие по HTTPS многие заходят без ограничений. Начал разбираться с настройками, всплыли еще более интересные вещи.

2. Так в том то и проблема, что если я ставлю блокировку мимо прокси для неавторизированных, то перестает обновляться антивирь. Причем, только на терминальном сервере.
 
 
 
#6
0
25.05.2018 03:16:00
Цитата
1. Как это не поставлю агент? А как это он у меня там стоит?Wacko

IP-терминальный сервер занесен в список терминальных серверов: "Правила|Правила сетей".
Все пользователи входят под своими учетками по NTLM-аутентификацией.

Я просто заметил, что на сайты, работающие по HTTPS многие заходят без ограничений. Начал разбираться с настройками, всплыли еще более интересные вещи.

2. Так в том то и проблема, что если я ставлю блокировку мимо прокси для неавторизированных, то перестает обновляться антивирь. Причем, только на терминальном сервере.
А.. ну значит терминалка все таки авторизована на ТИ и доступ во внешку получает. А инет на терминалки точно есть? Только NOD32 не обновляется? Странное явление, если терминалка авторизована на ТИ и внешка у нее есть, то значит что то с NOD32. Может какие то правила в ТИ блочат его?

А сам NOD32 работает через прокси, или прокси в нем не прописаны?
 
 
 
#7
0
25.05.2018 12:53:00
Сам терминальный сервер на TI не авторизируется ни по MAC, ни по IP. Авторизируются пользователи терминальных сеансов. Каждый со своей NTLM-аутентификацией. Это становится возможным, если в TI в "Правилах сетей" прописать этот сервер, как сервер терминалов.

Внешка у самого сервера терминалов отсутствует. Есть только у авторизовавшихся пользователей.

А зачем NOD32 на ТС работать через прокси? Он же за обновлениями не во внешку лезет, а на зеркало в локалке. Проблема-то в том, что это зеркало находится на шлюзе и если поставить галку "Блокировать HTTP трафик мимо прокси" для неавторизованных пользователей, то почему-то блокируется доступ к зеркалу для пользователя SYSTEM, от имени которого запущен NOD32 на ТС. А он-то, как раз, в отличие от пользователей терминальных сеансов, на ТИ не авторизуется ...

Странно это ... Ему же не надо во внешку лазить. Только к HTTP-серверу на шлюзе. Зачем же его блокировать?
 
 
 
#8
0
26.05.2018 05:45:00
Ну, в общем не знаю. Пробуйте, ковыряйтесь, рано или поздно все получится :)
Я просто на расстоянии туго соображаю.
 
 
 
Страницы: 1
Читают тему (гостей: 2)