Автор Тема: squid и проблем с java  (Прочетена 1743 пъти)

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
squid и проблем с java
« -: Dec 16, 2015, 13:59 »
Опитвам се да се логна в една страница която има явно java captcha, но заради squid-а, captcha-та изобщо не се вижда. Опитах да добавя гугълския линк google.com/recaptcha/api2/ , както и:

# bypass proxy authentication for a User Agent of Java app
acl Java browser Java/1.4 Java/1.5 Java/1.6  Java/1.7  Java/1.8  Java/1.9
http_access allow Java

, но без успех. Някой с друга идея?
Активен

Some Things Just Are The Way They Are

Acho

  • Напреднали
  • *****
  • Публикации: 5256
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Re: squid и проблем с java
« Отговор #1 -: Dec 16, 2015, 14:23 »
Не можеш ли да изключиш тоя домейн да НЕ минава през squid-а ?
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

remotexx

  • Напреднали
  • *****
  • Публикации: 3210
    • Профил
Re: squid и проблем с java
« Отговор #2 -: Dec 16, 2015, 21:27 »
Колегата май бърка Java с Javascript - никой не иска капча която няма да работи на повечето браузъри... най-малкото пък Гугъл - при тях на по-новите версии на хрома с новия plug-in формат Джавата въобще не тръгва (ама и май го направиха това не тръгване и малко нарочно след като Оракъл ги осъдиха за неправилна употреба на Java API ама това е една друга тема)

Проблемът по-скоро може да е от HTTPS - там squid въобще не знае какво става вътре, но виж в журнала дали няма грешка при отварянето на HTTPS или пък не му е забранено въобще HTTPS.

- също така е желателно да се забрани кеширането на reCaptcha трафика т.е. pass-through
- и още една идея: освен клиента който влиза също и сървъра отсреща (non reCpatcha) който го валидира трябва да вижда reCaptchata през тоя squid.
- и за финал: FirewallsAndRecaptcha

П.П. Извинявам се ако аз не съм рабрал правилно... ако случайно ти си правил страницата т.е. и клиента и сървъра, като сървъра ти е на джава която не може да пробие навън тогава може би нещо такова ще оправи нещата:

iptables -t filter -s $server -m tcp -p tcp --dport 80 -j REDIRECT --to-port 3128 --to-destination $squidserver

on either the $server that's generating the requests or the firewall that's dropping the packets?

TL;DR
# My networking guys are telling me, we need to some how call this
# request through the proxy server so it can go through or we would have
# to open up all of google through the firewall.
« Последна редакция: Dec 16, 2015, 21:51 от remotexx »
Активен

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
Re: squid и проблем с java
« Отговор #3 -: Dec 17, 2015, 09:34 »
Не можеш ли да изключиш тоя домейн да НЕ минава през squid-а ?

Може, ако има кой да се сети :) Мерси

Колегата май бърка Java с Javascript - никой не иска капча която няма да работи на повечето браузъри... най-малкото пък Гугъл - при тях на по-новите версии на хрома с новия plug-in формат Джавата въобще не тръгва (ама и май го направиха това не тръгване и малко нарочно след като Оракъл ги осъдиха за неправилна употреба на Java API ама това е една друга тема)

Проблемът по-скоро може да е от HTTPS - там squid въобще не знае какво става вътре, но виж в журнала дали няма грешка при отварянето на HTTPS или пък не му е забранено въобще HTTPS.

- също така е желателно да се забрани кеширането на reCaptcha трафика т.е. pass-through
- и още една идея: освен клиента който влиза също и сървъра отсреща (non reCpatcha) който го валидира трябва да вижда reCaptchata през тоя squid.
- и за финал: FirewallsAndRecaptcha

П.П. Извинявам се ако аз не съм рабрал правилно... ако случайно ти си правил страницата т.е. и клиента и сървъра, като сървъра ти е на джава която не може да пробие навън тогава може би нещо такова ще оправи нещата:

iptables -t filter -s $server -m tcp -p tcp --dport 80 -j REDIRECT --to-port 3128 --to-destination $squidserver

on either the $server that's generating the requests or the firewall that's dropping the packets?

TL;DR
# My networking guys are telling me, we need to some how call this
# request through the proxy server so it can go through or we would have
# to open up all of google through the firewall.

Да, скрипта имах предвид.
Няма нищо по логовете за https-а, първо това проверих. Сега ще погледна за кеширането, но явно тази опция ще отпадне, защото няма опция да се даде достъп до google-ските ИП-та.
Мерси все пак за линковете, поне се поосведомих.

П.С. Правилно си разбрал ;)

EDIT:

Добавих изключението, но нещо не работи:

Код
GeSHi (Bash):
  1. SQUID 3.x
  2. acl hotmail dstdomain .hotmail.com
  3. always_direct allow hotmail

# /usr/local/sbin/squid -v
Squid Cache: Version 3.5.9
Service Name: squid


Лога от squid-а:
Код
GeSHi (Bash):
  1. 1450338872.287   5032 192.168.1.36 TCP_TUNNEL/200 363 CONNECT my.rapido.bg:443 - HIER_DIRECT/94.155.49.90 -
  2. 1450338872.507   8644 192.168.1.36 TCP_TUNNEL/200 11074 CONNECT my.rapido.bg:443 - HIER_DIRECT/94.155.49.90 -
  3. 1450338898.354  30670 192.168.1.36 TCP_TUNNEL/200 16155 CONNECT www.google-analytics.com:443 - HIER_DIRECT/216.58.208.110 -

« Последна редакция: Dec 17, 2015, 10:18 от mrowcp »
Активен

Some Things Just Are The Way They Are

remotexx

  • Напреднали
  • *****
  • Публикации: 3210
    • Профил
Re: squid и проблем с java
« Отговор #4 -: Dec 24, 2015, 01:36 »
Е ама ти си го преписал дословно от примера
на теб колегата ти каза НЕ за домейна hotmail.com ами ЗА google.com
...доколкото разбрах
а аз бих добавил също и  (като ти гледам журнала)
google-analytics.com

П.П. Според мен тази директива always_direct не е точно това което търсиш - тя по скоро указва да не се минава през друго прокси/squid, но какво му пречи да си го извади от собствения си кеш...
според мен правилната директива е по-скоро no_cache
т.е. cache/no_cache комбинация

и правилните линкове са тези:
Can I make Squid go direct for some sites? - този не ти трябва (той както е обяснено е за други цели)

Can I make Squid proxy only, without caching anything? - виж това може да свърши работа.

#примерна постановка:
acl google dstdomain .google.com
cache deny google

като внимаваш на преден ред да нямаш cache allow all
т.е. реда на диретивите е важен във файла - обик. политиката е
cache allow ...
cache allow ...
cache deny all
или обратно
cache deny ...
cache deny ...
cache allow all
« Последна редакция: Dec 24, 2015, 01:53 от remotexx »
Активен

mrowcp

  • Напреднали
  • *****
  • Публикации: 450
    • Профил
Re: squid и проблем с java
« Отговор #5 -: Dec 28, 2015, 20:09 »
Е ама ти си го преписал дословно от примера
на теб колегата ти каза НЕ за домейна hotmail.com ами ЗА google.com
...доколкото разбрах
а аз бих добавил също и  (като ти гледам журнала)
google-analytics.com

П.П. Според мен тази директива always_direct не е точно това което търсиш - тя по скоро указва да не се минава през друго прокси/squid, но какво му пречи да си го извади от собствения си кеш...
според мен правилната директива е по-скоро no_cache
т.е. cache/no_cache комбинация

и правилните линкове са тези:
Can I make Squid go direct for some sites? - този не ти трябва (той както е обяснено е за други цели)

Can I make Squid proxy only, without caching anything? - виж това може да свърши работа.

#примерна постановка:
acl google dstdomain .google.com
cache deny google

като внимаваш на преден ред да нямаш cache allow all
т.е. реда на диретивите е важен във файла - обик. политиката е
cache allow ...
cache allow ...
cache deny all
или обратно
cache deny ...
cache deny ...
cache allow all

Не съм го пейстнал, просто в бързината така изглежда :) Промених го според нуждите ми.

Сега тествах доста работи и с cache deny и с aways_direct. В заключение се оказа, че проблема е следния:

Код
GeSHi (Bash):
  1. 1451325816.724   5611 192.168.1.36 TCP_TUNNEL/200 892 CONNECT www.google-analytics.com:443 - HIER_DIRECT/216.58.208.110 -
  2. 1451325816.755     32 192.168.1.36 TCP_TUNNEL/200 580 CONNECT my.rapido.bg:443 - HIER_DIRECT/94.155.49.90 -
  3. 1451325816.759     32 192.168.1.36 TCP_TUNNEL/200 572 CONNECT my.rapido.bg:443 - HIER_DIRECT/94.155.49.90 -
  4. -->>1451325816.763      1 192.168.1.36 TCP_DENIED/403 370 CONNECT www.google.com:443 - HIER_NONE/- text/html<<--
  5. 1451325816.877    149 192.168.1.36 TCP_TUNNEL/200 1014 CONNECT my.rapido.bg:443 - HIER_DIRECT/94.155.49.90 -
  6. 1451325821.888   5164 192.168.1.36 TCP_TUNNEL/200 1232 CONNECT my.rapido.bg:443 - HIER_DIRECT/94.155.49.90 -
  7. 1451325821.891   5134 192.168.1.36 TCP_TUNNEL/200 585 CONNECT my.rapido.bg:443 - HIER_DIRECT/94.155.49.90 -
  8. 1451325821.903   5137 192.168.1.36 TCP_TUNNEL/200 561 CONNECT my.rapido.bg:443 - HIER_DIRECT/94.155.49.90 -
  9. 1451325821.912   5181 192.168.1.36 TCP_TUNNEL/200 1639 CONNECT my.rapido.bg:443 - HIER_DIRECT/94.155.49.90 -
  10. 1451325821.940   5354 192.168.1.36 TCP_TUNNEL/200 5987 CONNECT my.rapido.bg:443 - HIER_DIRECT/94.155.49.90 -
  11.  

Ако добавя google.com в white списъка , captch-ата се появява, но има и достъп до google, а аз искам да избегна този момент.
« Последна редакция: Dec 28, 2015, 20:11 от mrowcp »
Активен

Some Things Just Are The Way They Are

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Squid
Настройка на програми
empty 1 2113 Последна публикация Feb 15, 2004, 12:43
от
squid
Настройка на програми
gocue_X 15 7082 Последна публикация Aug 24, 2009, 15:09
от pr0fessor
Проблем със Squid
Настройка на програми
ivanatora 4 2723 Последна публикация Sep 18, 2004, 03:24
от ivanatora
squid i squid.conf problem
Настройки на софтуер
stilldark 4 3843 Последна публикация Mar 19, 2010, 17:10
от b2l
Защо никой не обича Java?/Sprechen Sie Java? (слети теми)
Общ форум
b2l 68 25506 Последна публикация Sep 07, 2011, 12:30
от gogonk