Linux + proxy з авторизацією + тупа прога без підтримки proxy

Власне в темі описана основна частина задачі. Все що лишається — все ж змусити ту програму піти в Internet.

В світі вінди така задача вирішується установкою Forefront TMG (раніше називався ISA Server) на сервер і Forefront TMG Client (відповідно раніше — ISA Client) на комп’ютер з проблемною програмою.

В Linux'i не все так просто...

В більшості випадків все набагато простіше: встановлюєте SQUID, налаштовуєте його як прозорий проксі, але вказуєте в конфігурації батьківський сервер зі своїми параметрами авторизації.

Починаючи з третьої версії SQUID'a ввімкнути його прозорий режим дозволяє проста опція transparent в стрічці http_port. Стрічка, яка зазвичай виглядає як http_port 3128 у вас повинна мати вигляд: http_port 3128 transparent а щоб не заморочуватися з безпекою краще так: http_port 127.0.0.1:3128 transparent

Батьківський кеш з параметрами авторизації вказується якось так: cache_peer proxy.name-of-my.net parent 3128 0 login=username:password

Після змін конфігурації SQUID'a головне не забути її перечитати: squid -k reconfigure

Тепер треба пропустити інтернет-трафік через наш локальний прозорий проксі. Такі маніпуляції дозволяє зробити iptables — програма частіше використовувана як firewall. Але зараз ми використаємо трохи інші її можливості: iptables -t nat -I OUTPUT -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:3128

Тут я загорнув лише порт 80 — найчастіше використовуваний для http-трафіку, але при потребі можна загортати і інші, якщо їх використовує ваша програма iptables -t nat -I OUTPUT -p tcp -m multiport --dports 80, 8080, 5000:5010 \
-j DNAT --to-destination 127.0.0.1:3128

Все — весь трафік піде через проксі сервер з авторизацією, а програма і підозрювати не буде про її існування.

Ложка дьогтю — цей фокус проходить лише з http трафіком і, якщо трохи допиляти напильником — з ftp. Вже шифрований варіант http — https таким чином попустити не вдасться. Ще приклад: протоколи електронної пошти. Та і ще багато чого...

В цих випадках може врятувати програма YourFreedom, а саме її openvpn-режим. В цьому режимі вона з’єднується через проксі (вона-то авторизуватися вміє) зі своїми серверами і прописує маршрути в Internet через своє з’єднання. Це з’єднання, звісно ж, ніяких проксі не використовує. Проте за використання цієї програми більшість адміністраторів боляче б’ють по пальцях, бо вона часом створює великий трафік, там де його не мало б бути. Тому для початку варто спробувати домовитися з адміном, щоб від просто «пропустив» вашу проблемну програму напряму, без проксі сервера і лише якщо він вперто відмовлятиметься, то тоді вже ставити YourFreedom.




 

Працює на AutoGenCMS 0.2.6

А чому це всі вирішили, що в сайта має бути шапка?