我有一个能够通过Kerberosvalidation用户的BlueCoat ProxySG。 它被设置为“代理”,因此它需要对每个新的TCP连接进行用户authentication。 用户有单点login,当networking服务提示时,他们的PC会自动传递他们的Windowslogin凭据。 这个问题是,在一个有很多背景连接的网站(在这种情况下是www.bbc.com),用户在这么长时间之后会开始接收popup窗口(大部分页面和图片已经被加载)。 我相信这发生在使用本网站的每个用户。 在用户PC的数据包捕获中,Kerberos身份validation似乎在每个连接尝试(GET和CONNECT请求)上工作,因为用户通过GET / CONNECT请求正确传递服务票证。 但是突然间,我们开始向KDC申请一个新的服务票证……在这种情况下,它实际上会出现PRE_AUTH_REQUIRED错误,并且必须从KDC获得一个新的KRBTGT,然后再次尝试TGS_REQ。 这是当凭据的popup窗口似乎发生。 我的理解是,服务票据存储在用户的路边托盘中,可以重复使用,直到需要更新(如票据本身的更新date所述)。 这是正确的理解? 为什么代理会突然要求另外一张票? 当Kerberos不起作用时,BlueCoat ProxySG应该会自动回退到NTLM,为什么不这样做呢? (当不使用Kerberos作为身份validation的主要方法时,NTLM正常工作) 提前致谢!
尝试将HAProxyconfiguration为侦听端口ipv4(端口80)上的请求,但是通过eth1将请求代理到使用ipv6的服务器。 该请求必须显示请求的ipv6地址。 我们不想公开ipv4地址。 这可能使用HAProxy? 如果不是,我们应该看什么?
正如你已经读过的标题,我目前正在运行多个docker容器,这是作为git服务器,通常应该在端口22下运行。这显然不工作,但我的请求将如下。 请在22号端口上提供以下内容: git @ HOST – redirect到gitlab docker容器 bitbucket @ HOST – redirect到bitbucket容器 root @ HOST – (我根本不是以root的身份工作,但是为了理解原因)正常SSH访问Docker主机。 我知道,我将不得不在容器和帐户之间同步ssh密钥,但这不会是一个大问题,但我不知道是否有可能build立一个redirect系统。 我的一个方法是使用ForceCommand,但我不能redirect使用的SSH密钥… 另一个想法是在端口22上运行一个小工具,它只是在所有的SSH守护进程之间路由完整的请求,但是我还没有find这样一个工具,不知道是否有可能build立这样一个工具出于安全原因。
所以我的目标是阻止只有某些YouTube频道。 如果我做: acl block_youtube dstdomain .youtube.com http_access deny block_youtube 它阻止对YouTube的任何访问。 如果我做: acl block_youtube url_regex -i ^https://www.youtube.com/watch\?v=v2AC41dglnM http_access deny block_youtube 它不会阻止那个特定的页面,即使我在access_log中看到这个。 475862685.876 0 100.100.100.100 TAG_NONE/200 0 CONNECT www.youtube.com:443 – HIER_NONE/- – 1475862686.359 412 100.100.100.100 TCP_MISS/200 51182 GET https://www.youtube.com/watch\?v=v2AC41dglnM – HIER_DIRECT/216.58.192.238 application/json 任何人有任何想法如何解决这个问题?
自2周以来,我们的networking中存在一些互联网/代理问题。 用户在尝试访问网站时,Internet Explorer 11中出现零星错误“无法显示该页面”,但不是全部时间。 有时它会工作10分钟,然后一分钟不工作,等等。每个用户都在IE设置中设置了一个代理configuration文件(PAC)。 现在我们试着用wireshark来分析这里发生了什么事情,因为我们在代理服务器本身,PAC文件或用户设置中找不到任何问题。 在wireshark日志中,我们可以看到IE正在与代理服务器通信,发送GET请求并获得authentication(通过NTLMSSP进行代理authentication),代理服务器也在回答“HTTP / 1.1 302 Found(text / html)” 。 在下一步,我们可以看到客户端正试图通过网站的目的IP地址直接访问互联网,而且这是由我们的防火墙阻止的,因为客户端只需要通过代理去。 但为什么Internet Explorer试图直接? 也许有人有一个想法? 用户正在使用WinSrv2008R2terminal服务器(Citrix)。 我们怀疑Windows更新是原因,因为我们在2周前安装了许多优秀的更新。 但是我们在网上找不到任何描述我们问题的信息。 wireshark日志: […] 545159 11:18:02.456003 172.27.217.119 10.2.50.11 HTTP 599 GET http://www.our-website.de/ HTTP/1.1 545160 11:18:02.456580 10.2.50.11 172.27.217.119 TCP 60 3128 → 55551 [ACK] Seq=1 Ack=546 Win=63424 Len=0 545161 11:18:02.457097 10.2.50.11 172.27.217.119 TCP 1434 [TCP segment of […]
不确定标题是否正确。 我有我的网站在IIS7中configuration,我有另一个合作伙伴网站运行在不同的端口,例如。 http:// localhost:1234 / mysite。 我可以让我的父站点有一个虚拟站点http:// localhost / mysite将请求路由到合作伙伴站点http:// localhost:1234 / mysite。 我不应该redirect,但我应该基本上代理请求。 这里的任何帮助是可观的。 提前致谢。
我们在我们的内部networking中有一个代理服务器,我想把所有的Internet http请求redirect到本地networking中的一个Web服务器。 这就像一个networking广告牌,说:“没有直接连接可用,设置您的代理等。 例如: 用户启动计算机 打开浏览器 尝试打开www.google.com 应该在本地networking上看到Web服务器输出 在互联网上尝试另一个网站 应该在本地networking上看到Web服务器输出 设置代理 试图连接到一个网站 网站应该加载 我已经在Checkpoint防火墙中添加了一个简单的手动NAT规则来解决翻译问题,但它根本不起作用。 这是我的地址转换规则 Source Destination Service T.Source T.Destination T.Service MY_PC A_GOOGLE_IP ALL ORIGINAL INT_WEB_SRV ORIGINAL 然后,当我ping A_GOOGLE_IP ,答复来自INT_WEB_SRV ,正如我所料。 但是,当我尝试从浏览器( http:// A_GOOGLE_IP )连接A_GOOGLE_IP ,SYN_SENT没有响应,并进入超时。 当我查看INT_WEB_SRV的防火墙日志时,可以看到来自MY_PC的传入连接请求被接受,并且NO拒绝。 顺便说一下,从浏览器查看INT_WEB_SRV ( http:// INT_WEB_SRV )是没有问题的。 我的理解是,我的NAT规则在检查点NGX R60不包括返回数据包。 我绝对需要一些帮助。
我想要将Squid代理与Active Directory域集成,以便实现以下function: 我可以授予/拒绝访问基于用户帐户和/或组的网站。 域用户在访问代理时不需要显式authentication,即他们自动使用他们的Windowslogin凭证。 未经身份validation的用户仍然可以被授予访问权限(到特定的目的地)。 最后两点是我最关心的问题。 我知道Squid可以根据AD对用户进行身份validation,但是我不知道它是否可以同时pipe理经过身份validation和匿名的用户,以及是否可以使用透明身份validation,即不需要用户明确login到代理服务器。 另外,我知道有两种方法可以将Squid与AD结合:WinBind和LDAP。 哪一个更适合这种情况? 我不需要Squid成为一个透明的代理。 已经有一个GPO,为所有域用户configurationIE代理设置。 奖金的问题:所有这些工作,当SquidGuard也参与?
我有一个非代理感知的程序,我需要通过HTTP代理服务器工作。 我可以随意configuration的机器上运行的程序(MYPROG)(MYSRV)连接到特定端口(DESTPRT)上的特定服务器(DESTSRV)。 有一个现有的HTTP代理服务器(PROXYSRV:PROXYPRT),如果MYPROG是代理感知的,它将允许stream量通过,但事实并非如此。 有没有办法在特定端口上本地监听并通过代理服务器转发stream量? 我完全可以configurationMYPROG所指向的位置,所以我可以将它指向MYSRV:4545,因为有些奇迹程序会通过PROXYSRV:PROXYPRT将数据redirect到DESTSRV:DESTPRT。 我想知道IP表或netcat可以做的伎俩,只要我能弄清楚他们… 谢谢!
我需要设置一个代理服务器,在那里我们可以请求远程url,并让他们在本地服务。 基本上我需要的是 mysever:8000/varnish/serverfault.com让我从我的本地varnish服务serverfault.com 要么 myserver:8080/squid/serverfault.com从我的本地squid获取serverfault.com服务。 (两者都应该caching该网站24小时) 我正在评估如果 清漆或鱿鱼将是一个不错的select。 哪一个会更适合? 我该怎么做。 链接到教程将是很好的。