我目前正在尝试使用centos下的各种开源程序,通过需要NTLM身份validation的ISA代理服务器进行连接。 为了解决authentication需求,并且由于某些工具没有内置ntlmauthenticationfunction(虽然我们需要的所有工具都有一种通过代理连接的方式,而不需要authentication),但我想过要安装一些其他软件层将“代理/隧道”应用程序在NTLM ISA上执行身份validation。 我试图安装Squid,希望能够在以下设置中处理NTLM身份validation: 多个应用程序<—> squid < – NTLM AUTH – > ISA <—-> WWW 不过,我似乎无法得到鱿鱼自动身份validation的ISA … 这类问题有哪些select(我们需要通过需要NTLM身份validation的代理进行身份validation并传递多个应用程序)?
我已经尝试了几种不同的规则组合,似乎没有任何工作。 我知道你不能使用prerouting表来处理来自localhost的请求,所以我使用了输出表,并且在使用wget的时候只是返回错误。 我有wgetconfiguration使用代理127.0.0.1:8118。 当我使用下面的命令我得到我的公共IP。 如果我更改命令以删除–no-proxy,则从我的代理获取IP。 我想通过代理使用iptables来强制对这个站点发出任何请求,而不pipe请求它的程序如何。 我本质上是试图创build一个透明的代理,但只为一个网站的请求。 系统= Debian挤压 wget命令: wget –no-proxy -q -O – checkip.dyndns.org|sed -e 's/.*Current IP Address: //' -e 's/<.*$//' 我在/etc/sysctl.conf中启用了net.ipv4.ip_forwarding = 1。 试图规则: iptables -t nat -I OUTPUT –source 0/0 –destination checkip.dyndns.org -p tcp -j REDIRECT –to-ports 8118 iptables -t nat -I OUTPUT -p tcp -d checkip.dyndns.org -j REDIRECT –to-ports 8118 […]
我正在使用Apache和mod_proxy通过HTTP提供对Monit GUI的访问。 到目前为止,我的configuration如下: ProxyRequests Off <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPreserveHost on ProxyPass /monit http://localhost:2812/ ProxyPassReverse /monit http://localhost:2812/ 当人们去http://mywebsite/monit他们得到Monit主页。 然而,由Monit返回的链接有一个绝对path,它打破了仅适用于以/monit开头的path的代理。 我可以为http://monit.mywebsite (例如http://monit.mywebsite )创build一个单独的vhost来解决这个问题,但是想知道是否有另一个解决scheme。 问题1:有没有办法让Apache重写HTML代码中的链接,以便在ProxyPass和ProxyPassReverse指令中定义任何path? 问题2:如果上述不可能,你会看到另一个解决scheme,而不是我提到的单独的vhost ?
我们在WRT54GL上运行OpenWRT。 我一直在寻找这个答案,但我似乎无法弄清楚要search什么,如果可能的话,或使用什么样的程序组合。 我希望能够根据其MAC地址redirect来自WiFi设备的HTTP请求。 这对设备应该都是透明的。 基本上我们试图将任何未注册的设备redirect到一个网站来注册设备(在这一点上,我们会推动一个新的configuration到路由器,使这个MAC地址“完全访问”)。 一旦设备注册,它将被redirect到另一台机器上的透明squid代理服务器,以caching/阻止某些站点。 我看了tinyproxy – > popiloredirect,但我不会有MAC地址知道它的注册与否。 任何帮助(谷歌的build议,程序,任何东西!)将非常感激!
在我们的大型企业环境中,我们有4台ISA 2006服务器。 用户(WinXP IE8)configuration了一个自动代理configuration脚本。 最近,PAC被修改为返回FQDN而不是ISA服务器的IP地址。 这是为了强制Kerberos身份validation,而不是NTLM。 这种改变已经造成了一些用户的间歇性问题。 通过SSL访问站点时,他们会从代理服务器获取多个提示进行身份validation。 并非所有用户都受到影响。 不同的网站受到影响。 有一次,代理服务器之一开始喷出“502代理错误,不支持缓冲区空间”。 它被重新启动,并恢复了业务。 我们可以最好地认识到,它与大型Kerberos令牌大小(我们是一个具有数百/数千AD安全组的大型操作)有关。 一些用户为Kerberosconfiguration了MaxPacketSize和MaxTokenSize。 有些不是。 我看到的两个问题用户都有这些设置。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] "MaxPacketSize"=dword:00000001 "MaxTokenSize"=dword:0000ffff 回滚PAC以使用IP地址(和NTLM)解决了用户的问题。 但是代理pipe理员仍然希望Kerberos出于以下原因: 为什么在IIS中使用Kerberos代替NTLM? 。 将这些registry设置推出给所有用户修复问题,还是这些设置问题的根源? 在ISA服务器上有一个设置需要调整,以匹配桌面上的令牌大小设置? 谢谢。
我可能是关于serverfault相关问题的一个完整的n00b,但是我们的IT部门做了一个大胆的陈述,我想validation一下。 我search了互联网,但没有find与我的问题有关的东西,所以我来到这里。 我们有威胁pipe理网关2010,我们只是将请求路由到IIS,它包含的IP地址,所以我们可以看到它来自哪里。 但现在他们打开了“请求apear来TMG服务器”,所以ip地址不再转发。 每个请求都有TMG服务器的IP地址。 现在背后的想法是,由于多pathbgp路由,传入的请求通过RouteA,但确认消息可能通过RouteB返回。 声明是因为请求不是来自第一个已知源,而是来自我们的代理,而是来自IIS,我们网站访问者的一些智能路由器不能识别确认消息并将其过滤掉。 换句话说,响应永远不会到来。 再次,这是主张。 但是我找不到任何支持这种说法的资源。 我读了关于bgp多path,但更多的情况下,当最快的路由由于某种原因失败时有替代路线。 那么这种说法是完全虚假的,还是存在(一些)真相呢? 有人可以解释或指向我的资源? 提前致谢!
我有一个在nginx中的工作configuration,就是这样 server { listen 80; server_name example.com; location / { proxy_pass http://127.0.0.1:8000; proxy_redirect default; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; client_max_body_size 100m; client_body_buffer_size 128k; proxy_connect_timeout 600; proxy_send_timeout 600; proxy_read_timeout 600; proxy_buffer_size 4k; proxy_buffers 4 32k; proxy_busy_buffers_size 64k; proxy_temp_file_write_size 64k; } location ~* ^.+.(jpg|jpeg|gif|png|ico|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|js|htm|html)$ { root PATH_TO_STATIC_CONTENT; } } 我怎样才能模仿这与Apache? 我尝试了下面的configuration,但静态内容不起作用。 <VirtualHost *:80> […]
我正在读的是一个基本上是匿名聊天程序的torchat 。 这听起来很酷,所以我想尝试做我自己的。 首先我写了一个testing,以使用Http获取网页。 Sicne .NET不支持SOCKS4A / SOCKS5我用privoxy和我的应用程序工作。 然后我切换到TCP回声testing和privoxy不支持TCP,所以我search和安装6+代理应用程序(freecap,socat,freeproxy,委托是我可以记得从我的头顶,我也玩腻子BC知道它支持隧道和SOCK5),但我不能成功地让他们中的任何一个工作,更不用说让它运行我的HTTPtesting,privoxy轻松,无痛地做到了。 我可以使用什么来获得通过TOR的TCP连接? 我花了2个多小时没有成功。 我不知道我是否在寻找一个接力,隧道,货代,代理或代理链,这些都是在我的search中出现的。 我使用下面的configuration为.NET。 我需要TCP工作,但我第一次testing与http,因为我知道我有它使用privoxy工作。 我使用哪些应用程序和configuration来使TCP通过tor? <?xml version="1.0" encoding="utf-8" ?> <configuration> <system.net> <defaultProxy enabled="true"> <proxy bypassonlocal="True" proxyaddress="http://127.0.0.1:8118"/> </defaultProxy> <settings> <httpWebRequest useUnsafeHeaderParsing="true"/> </settings> </system.net> </configuration> – 编辑 – 感谢Bernd我有一个解决scheme。 这是我写的代码。 这不是太好,但它的公平。 static NetworkStream ConnectSocksProxy(string proxyDomain, short proxyPort, string host, short hostPort, TcpClient tc) { tc.Connect(proxyDomain, proxyPort); if […]
我正在使用基于Forefront TMG的新服务器replace旧的ISA服务器。 在DHCP服务器(Windows 2003)上,我可以看到DHCP选项252指向旧地址。 我已经改变了服务器的预定义选项,使其指向新的代理,但是,所有的预订和客户端仍然是通过旧的。 我们有一个dynamic的addresess池,也是一个保留的池。 我已经尝试删除预留并重新创build它,但它仍然指向旧的服务器。 任何帮助将不胜感激。
我在我的业务networking上运行一些networking摄像头(带embedded式服务器),这些networking摄像头可以通过networking访问,我想制作Apache可以路由到他们运行的端口的“漂亮”的URL,所以我的妻子不需要记住端口号码。 例如,其中一台摄像机是本地IP 192.168.0.200,而摄像头服务器(我正在使用安卓手机上的IP摄像头 )正在端口7890上运行。我将端口转发给我的路由器,我可以通过networking访问它mydomain.com:7890。 我想要做的就是给它一个像mydomain.com/cam/1一个不错的URL,并有Apache路由到正确的LAN IP /端口。 这在我的httpd.conf也可以正常工作: ProxyPass /cams/1 http://192.168.0.200:7890 ProxyPassReverse /cams/1 http://192.168.0.200:7890 我可以在浏览器中键入mydomain.com/cam/1并获取它提供的html页面。 问题是,它最初服务的页面只是一堆链接,即以下内容: 每个链接都是相对于页面的根。 例如,我通常使用第三个链接,“使用Java浏览器插件”。 这个链接的URL是/java.html 。 如果我使用“绝对”urlmydomain.com:7890/java.html , mydomain.com:7890/java.html预期工作。 但是启用Proxying后,生成的链接是mydomin.com/java.html ,我的根文件夹中没有java.html(即使是我做的,它将是与networking摄像头不同的文件)。 所以我的问题是,如何继续拥有这些漂亮的url,但是在被网页内部的url(或任意的子url)仍然遵守/cams/1偏移量,这样它们都能正常工作?