Страница печати | Закрыть окно

HTTP мимо прокси. Что не так?

Распечатать форум: Форум компании Смарт-Софт
Категория: Главный раздел
Название форума: Traffic Inspector - технические вопросы.
Описание форума: Вопросы по установке, настройке, возможностям и т.п.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=24151
Дата печати: 17-Ноя-18 в 00:54
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: HTTP мимо прокси. Что не так?
Автор: Teplo Kolomny
Тема: HTTP мимо прокси. Что не так?
Дата отправки: 24-Май-18 в 10:16
День добрый!

Вводная:

В сети используется антивирус ESET NOD32. На шлюзе с TI тоже установлен экземпляр этого ПО и настроено зеркалирование антивирусных БД. Т.е. базы данных сигнатур вирусов складываются в специальную папку, откуда сетевые компьютеры могут взять их как с расшаренных ресурсов, так и подключившись к ESET HTTP-серверу на порт 2221.

Собственно, проблема:

На днях заметил, что на сервере терминалов антивирус уже полторы недели перестал обновляться с зеркала по HTTP. При этом другие сервера и компьютеры обновлялись с зеркала без проблем.

При запуске обновлений вручную после долгих раздумий выдает, что соединение прервано.
При этом telnet-ом на 2221 порт приконнектится удается. Но соединение рвется при нажатии на любую клавишу.

После суток чесания затылка наконец вспомнил, что в TI в разделе "Пользователи и группы|Свойства" на вкладке "HTTP мимо прокси" установил 2 галочки для неавторизованных пользователей: "Перенаправлять TCP/80 на прокси сервер" и "Блокировать все HTTP запросы мимо прокси сервера".

После снятия второй галки все заработало.

Засим, такие вопросы:

1. Как TI определяет, что это HTTP-протокол, если соединение идет не на стандартный порт TCP#80?

2. Почему эта галка сказалась только на терминальном сервере?

3. Чем грозит ее снятие для терминального сервера и прочих нетерминальных компьютеров?



Ответов:
Автор: ScreN
Дата отправки: 24-Май-18 в 10:49
Снятие галки грозит тем, что неавторизованные пользователи смогут работать мимо прокси сервера. А если галка стоит, то неавторизованные пользователи мимо прокси не пройдут, а так как эти пользователи не заведены на прокси сервере, то и доступа к инету у них не будет. По другому объяснить не могу.

Если пользователь неавторизован, то его перекидывает на прокси сервер для авторизации, если авторизации не прошла то он не получит доступа и мимо прокси работать не сможет.

Я это понимаю, как понимаю :)

А терминальный сервер как то же авторизован в TI? Он же как то инет получает от прокси?


Автор: Teplo Kolomny
Дата отправки: 24-Май-18 в 11:11
Ну на таком уровне я тоже понимаю :)

Вопрос такой: Если пользователь совсем не заведен в TI (ну не создана для него учетка), он считается неавторизированным?

А то как бы не вышло, что пользователей в TI совсем нет, а Интернет у них есть.

Почему вторая галка сказалась не лучшим способом только на терминальном сервере?


Автор: ScreN
Дата отправки: 24-Май-18 в 13:38
Исходное сообщение МУП Тепло Коломны МУП Тепло Коломны :

Ну на таком уровне я тоже понимаю :)

Вопрос такой: Если пользователь совсем не заведен в TI (ну не создана для него учетка), он считается неавторизированным?

А то как бы не вышло, что пользователей в TI совсем нет, а Интернет у них есть.

Почему вторая галка сказалась не лучшим способом только на терминальном сервере?
Если пользователь не добавлен в группу авторизованных пользователей, то он при обращении к прокси попадает в группу неавторизованных пользователей по умолчанию, для прохождения регистрации на прокси сервере и получения доступа во внешку. Пока пользователь находиться в группе "неавторизованные" он не получит доступа во внешку. Для этого эта группа и создана.

У меня допустим вообще отключено автодобавление пользователей. Я ручками всех авторизовываю.

Так я так и не понял. Терминальный сервер у тебя авторизован в TI? Добавь его в группу авторизованных пользователей по IP. Потому что на терминальном сервере ты агент не поставишь.

Клиент считается авторизованным и может получать доступ во внешку, только если он прошел регистрацию на прокси сервере. Ты можешь его авторизовать как через агент, так и просто по IP дать ему доступ во внешку. В этом случае правила блокировки данной машины работать не будут, потому что она считается авторизованной на прокси.

У меня эти галочки которые у тебя, стоят на все группы пользователей по умолчанию. У меня проблем никаких нету. Все пользователи доступ получают. А так как автодобавление пользователей у меня выключено, то никто левый на прокси не постучится, не попадет в группу неавторизованных и не получит доступа соответственно. Пока я его сам не зарегистрирую на сервере.

Ну, я думаю ты понял. Если у тебя автодобавление пользователей включено, попробуй с не зарегистрированной машины постучать на прокси. Прокси автоматически перекинет тебя на страницу регистрации, при этом доступа во внешку он не получит

http://c2n.me/3Umm60X" rel="nofollow - http://c2n.me/3Umm60X
http://c2n.me/3Ummgjl" rel="nofollow - http://c2n.me/3Ummgjl

Так стоит у меня в настройках. Для неавторизованных запрещен доступ мимо прокси. Внешка соответственно не работает у них. Они мимо прокси пройти не смогут, они все равно на него будут долбится, но он их не пропустит во внешку


Автор: Teplo Kolomny
Дата отправки: 24-Май-18 в 15:56
1. Как это не поставлю агент? А как это он у меня там стоит?Wacko

IP-терминальный сервер занесен в список терминальных серверов: "Правила|Правила сетей".
Все пользователи входят под своими учетками по NTLM-аутентификацией.

Я просто заметил, что на сайты, работающие по HTTPS многие заходят без ограничений. Начал разбираться с настройками, всплыли еще более интересные вещи.

2. Так в том то и проблема, что если я ставлю блокировку мимо прокси для неавторизированных, то перестает обновляться антивирь. Причем, только на терминальном сервере.


Автор: ScreN
Дата отправки: 25-Май-18 в 03:16
Исходное сообщение МУП Тепло Коломны МУП Тепло Коломны :

1. Как это не поставлю агент? А как это он у меня там стоит?Wacko

IP-терминальный сервер занесен в список терминальных серверов: "Правила|Правила сетей".
Все пользователи входят под своими учетками по NTLM-аутентификацией.

Я просто заметил, что на сайты, работающие по HTTPS многие заходят без ограничений. Начал разбираться с настройками, всплыли еще более интересные вещи.

2. Так в том то и проблема, что если я ставлю блокировку мимо прокси для неавторизированных, то перестает обновляться антивирь. Причем, только на терминальном сервере.
А.. ну значит терминалка все таки авторизована на ТИ и доступ во внешку получает. А инет на терминалки точно есть? Только NOD32 не обновляется? Странное явление, если терминалка авторизована на ТИ и внешка у нее есть, то значит что то с NOD32. Может какие то правила в ТИ блочат его?

А сам NOD32 работает через прокси, или прокси в нем не прописаны?


Автор: Teplo Kolomny
Дата отправки: 25-Май-18 в 12:53
Сам терминальный сервер на TI не авторизируется ни по MAC, ни по IP. Авторизируются пользователи терминальных сеансов. Каждый со своей NTLM-аутентификацией. Это становится возможным, если в TI в "Правилах сетей" прописать этот сервер, как сервер терминалов.

Внешка у самого сервера терминалов отсутствует. Есть только у авторизовавшихся пользователей.

А зачем NOD32 на ТС работать через прокси? Он же за обновлениями не во внешку лезет, а на зеркало в локалке. Проблема-то в том, что это зеркало находится на шлюзе и если поставить галку "Блокировать HTTP трафик мимо прокси" для неавторизованных пользователей, то почему-то блокируется доступ к зеркалу для пользователя SYSTEM, от имени которого запущен NOD32 на ТС. А он-то, как раз, в отличие от пользователей терминальных сеансов, на ТИ не авторизуется ...

Странно это ... Ему же не надо во внешку лазить. Только к HTTP-серверу на шлюзе. Зачем же его блокировать?


Автор: ScreN
Дата отправки: 26-Май-18 в 05:45
Ну, в общем не знаю. Пробуйте, ковыряйтесь, рано или поздно все получится :)
Я просто на расстоянии туго соображаю.



Страница печати | Закрыть окно