Dansguardian + squid + ntlm pass trough

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
krisis
Linux 4.x
Linux 4.x
Messaggi: 1120
Iscritto il: mar 25 gen 2005, 0:00
Distribuzione: debian
Località: Roma

Dansguardian + squid + ntlm pass trough

Messaggio da krisis »

Sto sbattendo la testa su questa cosa da ieri ed in rete trovo solo degli accenni vaghi e fumosi al problema.

Premessa :
Devo tirare su un servizio che si interponga fra i pc ed internet per impedire l'accesso a determinate categorie di siti web o servizi online.

Situazione :
$mia_lan --> $wan_ casa_madre --> $lan_casa_madre --> internet
Fra $mia_lan e $wan_casa_madre non posso sostituire il gateway (switch cisco layer3) per motivi politici.
Fra $mia_lan e $wan_casa_madre posso abilitare il wccp sul gw attuale per redirigere il traffico verso un cache server in $mia_lan.
In $lan_casa_madre ci sono dei siti web (una intranet) con accesso tramite NTML (abilitati al sso con active directory) che devono essere sempre e comunque raggiungibili.

Programmi utilizzati :
dansguardian 2.10.1.1
Squid Version 2.6.STABLE21
SquidGuard

$DG --> $SQUID --> $SquidGuard (squidGuard lo posso anche togliere se gestisco la black list con dg)

Situazione :
Non potendo usare il server proxy come gw per $mia_lan non posso impostare regole di iptables per non redirigere il traffico verso la intranet sulla porta di DansGuardian. Con wccp tutti il traffico web viene indiscriminatamente buttato sul cache server.
Ntlm prevede che tutte le fasi di autenticazioni vengano eseguite in un unica connessione , infatti passando direttamente da squid funziona correttamente.
Passando da DansGuardian il meccanismo viene rotto perchè ogni nuova richiesta del client viene trattata come una nuova connessione verso squid.
Senza DansGuardian tutto funziona senza problemi.

Conoscete un modo per evitare di rompere questo meccanismo?

Le soluzioni che ho provato fino ad ora sono state :
  1. sandwich : squid --> dg --> squid --> internet : pessima configurazione e non affidabile
    ntlmaps : dg --> squid --> ntlmaps --> internet : lenta , non affidabile
    exclusionlist di dansguardian : inutile dato che serve solo nel caso in cui in quelle pagine ci siano dei contenuti vietati
Avete altre idee? SquidGuard è ottimo ma con DansGuardian posso fare anche un controllo sui contenuti delle pagine e dei download dinamicamente così da non dover impazzire appresso ad una blacklist.

Rispondi