服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Internet /代理问题Internet Explorer(PAC文件)
Intereting Posts
如何使用scp _MOVE_文件? 将垃圾邮件地址添加到SpamHaus和SpamCop DNSRBL 如何判断是否需要更好的服务器或从Web层分离数据库? 将远程数据写入磁带时,本地驱动器吞吐量是备份速度的一个因素? 如何自动启动Apache服务器? 为什么sar输出不匹配? wget中的默认利率单位是多less? Debian软件包更新和版本升级之间的区别 通过registry,WinXP更改页面文件 SysRq,任务列表和丢失的进程 我究竟如何find特定的samba用户进程ID,以便我可以杀死它 CentOS的BIND DNS疑难解答? 供电可靠性 了解/优化iptables输出 如何在Tomcat 7上重新部署主机pipe理器webapp?

Internet /代理问题Internet Explorer(PAC文件)

自2周以来,我们的networking中存在一些互联网/代理问题。 用户在尝试访问网站时,Internet Explorer 11中出现零星错误“无法显示该页面”,但不是全部时间。 有时它会工作10分钟,然后一分钟不工作,等等。每个用户都在IE设置中设置了一个代理configuration文件(PAC)。 现在我们试着用wireshark来分析这里发生了什么事情,因为我们在代理服务器本身,PAC文件或用户设置中找不到任何问题。

在wireshark日志中,我们可以看到IE正在与代理服务器通信,发送GET请求并获得authentication(通过NTLMSSP进行代理authentication),代理服务器也在回答“HTTP / 1.1 302 Found(text / html)” 。 在下一步,我们可以看到客户端正试图通过网站的目的IP地址直接访问互联网,而且这是由我们的防火墙阻止的,因为客户端只需要通过代理去。

但为什么Internet Explorer试图直接? 也许有人有一个想法?

用户正在使用WinSrv2008R2terminal服务器(Citrix)。 我们怀疑Windows更新是原因,因为我们在2周前安装了许多优秀的更新。 但是我们在网上找不到任何描述我们问题的信息。

wireshark日志: 

[...] 545159 11:18:02.456003 172.27.217.119 10.2.50.11 HTTP 599 GET http://www.our-website.de/ HTTP/1.1 545160 11:18:02.456580 10.2.50.11 172.27.217.119 TCP 60 3128 → 55551 [ACK] Seq=1 Ack=546 Win=63424 Len=0 545161 11:18:02.457097 10.2.50.11 172.27.217.119 TCP 1434 [TCP segment of a reassembled PDU] 545162 11:18:02.457098 10.2.50.11 172.27.217.119 TCP 60 [TCP Previous segment not captured] 3128 → 55551 [FIN, ACK] Seq=2644 Ack=546 Win=63424 Len=0 545163 11:18:02.457117 172.27.217.119 10.2.50.11 TCP 54 55551 → 3128 [ACK] Seq=546 Ack=1381 Win=131072 Len=0 545164 11:18:02.457135 10.2.50.11 172.27.217.119 TCP 1317 [TCP Out-Of-Order] 3128 → 55551 [PSH, ACK] Seq=1381 Ack=546 Win=63424 Len=1263 545165 11:18:02.457145 172.27.217.119 10.2.50.11 TCP 54 55551 → 3128 [ACK] Seq=546 Ack=2645 Win=129792 Len=0 [...] 545199 11:18:02.466819 172.27.217.119 10.2.50.11 HTTP 683 GET http://www.our-website.de/ HTTP/1.1 , NTLMSSP_NEGOTIATE 545200 11:18:02.467245 10.2.50.11 172.27.217.119 TCP 60 3128 → 55552 [ACK] Seq=1 Ack=630 Win=63360 Len=0 545201 11:18:02.467546 10.2.50.11 172.27.217.119 HTTP 637 HTTP/1.1 407 Proxy Authentication Required , NTLMSSP_CHALLENGE 545202 11:18:02.467560 172.27.217.119 10.2.50.11 TCP 54 55552 → 3128 [ACK] Seq=630 Ack=584 Win=130304 Len=0 545206 11:18:02.474303 172.27.217.119 10.2.50.11 HTTP 1271 GET http://www.our-website.de/ HTTP/1.1 , NTLMSSP_AUTH, User: OUR_DOMAIN\user 545207 11:18:02.475012 10.2.50.11 172.27.217.119 TCP 60 3128 → 55552 [ACK] Seq=584 Ack=1847 Win=62144 Len=0 545213 11:18:02.519326 10.2.50.11 172.27.217.119 HTTP 835 HTTP/1.1 302 Found (text/html) 545214 11:18:02.519359 172.27.217.119 10.2.50.11 TCP 54 55552 → 3128 [ACK] Seq=1847 Ack=1365 Win=129536 Len=0 545216 11:18:02.524742 172.27.217.119 #Website_IP# TCP 66 55553 → 80 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 545217 11:18:02.524880 172.27.217.119 #Website_IP# TCP 66 55554 → 80 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 545218 11:18:02.525377 #Website_IP# 172.27.217.119 TCP 60 80 → 55553 [RST, ACK] Seq=1 Ack=1 Win=8192 Len=0 545219 11:18:02.525487 #Website_IP# 172.27.217.119 TCP 60 80 → 55554 [RST, ACK] Seq=1 Ack=1 Win=8192 Len=0

我们可以在我们的防火墙日志中看到连接被阻止: 

 4 May 30 2017 11:18:02 106023 172.27.217.119 55553 #Website_IP# 80 Deny tcp [...]

//编辑:PAC文件: 

 function FindProxyForURL(url, host) { if (isPlainHostName(host)) { return "DIRECT"; } if (host == "127.0.0.1") { return "DIRECT"; } // 10.xxx if (shExpMatch(url,"https://10.*.*.*") || shExpMatch(url,"http://10.*.*.*") || shExpMatch(url,"ftp://10.*.*.*")) { return "DIRECT"; } // 172.27.xx if (shExpMatch(url,"https://172.27.*.*") || shExpMatch(url,"http://172.27.*.*") || shExpMatch(url,"ftp://172.27.*.*")) { return "DIRECT"; } // 192.168.xx if (shExpMatch(url,"https://192.168.*.*") || shExpMatch(url,"http://192.168.*.*") || shExpMatch(url,"ftp://192.168.*.*")) { return "DIRECT"; } // KV-SafeNet (INCAS Medical) if((host == "www.incas-medical-safenet.de")) { return "DIRECT"; } if((host == "188.144.47.250")) { return "DIRECT"; } if(isInNet(host, "188.144.0.0", "255.254.0.0")) { return "DIRECT"; } // If the requested website is hosted within the internal network, send direct. if (isPlainHostName(host) || shExpMatch(host, "*.local") || isInNet(dnsResolve(host), "10.0.0.0", "255.0.0.0") || isInNet(dnsResolve(host), "172.16.0.0", "255.240.0.0") || isInNet(dnsResolve(host), "192.168.0.0", "255.255.0.0") || isInNet(dnsResolve(host), "127.0.0.0", "255.255.255.0")) return "DIRECT"; return "PROXY 10.2.50.11:3128; PROXY 10.2.50.10:3128"; }

国王问候,Niko

您的防火墙正在阻止不应该的stream量,或者stream量正在路由到防火墙。

您的代理文件configuration为直接为“172.16.0.0”,“255.240.0.0”,其中包括地址范围:172.16.0.0 – 172.31.255.255。 你提供的例子是172.27.217.119,应该允许但是被你的防火墙丢弃。