Squid3 Probleme bei der Authentifizierung

[AWOHille]

Ich setze lokal einen Squid3 Proxy ein, um den den Internetverkehr entsprechend zu regeln. Die Authentifizierung der User erfolgt per ncsa_auth, was auch problemlos funktioniert. Das Problem ist allerdings, das Windows7 Clients bzw. z.T. auch IOS8 Client Probleme bei der Authentifizierung haben.

Code: Select all

1414752343.734      0 192.168.178.21 TCP_DENIED/407 3694 GET http://updates.lechnology.com/KeePassPlugins - HIER_NONE/- text/html
1414752343.734      0 192.168.178.22 TCP_DENIED/407 3692 GET http://keepass.info/update/version2x.txt.gz - HIER_NONE/- text/html

1414791808.558      0 192.168.178.61 TCP_DENIED/407 3693 CONNECT cl2.apple.com:443 - HIER_NONE/- text/html
1414791808.582      0 192.168.178.61 TCP_DENIED/407 3693 CONNECT cl2.apple.com:443 - HIER_NONE/- text/html
1414791808.605      0 192.168.178.61 TCP_DENIED/407 3693 CONNECT cl2.apple.com:443 - HIER_NONE/- text/html
1414791808.630      0 192.168.178.61 TCP_DENIED/407 3693 CONNECT cl2.apple.com:443 - HIER_NONE/- text/html
1414791808.653      0 192.168.178.61 TCP_DENIED/407 3693 CONNECT cl2.apple.com:443 - HIER_NONE/- text/html
1414791808.680      0 192.168.178.61 TCP_DENIED/407 3693 CONNECT cl5.apple.com:443 - HIER_NONE/- text/html
1414791808.705      0 192.168.178.61 TCP_DENIED/407 3693 CONNECT cl5.apple.com:443 - HIER_NONE/- text/html

Wenn ich das richtig interpretiere, versuchen die Clients, ohne Authentifizierung auf das Internet zuzugreifen, was dann geblockt wird. So sieht es im Log bei erfolgreicher Authentifizierung aus

Code: Select all

1414791494.107    162 192.168.178.21 TCP_MISS/200 975 GET http://api.flattr.com/button/view/? user1 HIER_DIRECT/95.215.16.13 text/html

Die Konfig /etc/squid3/squid.conf

Code: Select all

...
acl localnet src 192.168.178.0/24

acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
...
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl checkpw proxy_auth REQUIRED localnet
http_access allow checkpw
http_access deny all

So recht will mir keine Lösung für das Problem einfallen bzw. wo liegt das Problem? Möglich wäre auch, das ein eingeschränkter Zugang zum Internet ohne Benutzername und Kennwort möglich wäre. Wie müsste der Proxy dann konfiguriert werden?

[Joe User]

Ich kann Dir hierbei nicht direkt helfen, aber KeyPass ist ein Passwortmanager und der versucht sich in obigem Ausschnitt (im Hintergrund) selbst upzudaten, das muss kein Nutzer aktiv anstossen und bekommt dieser im Regelfall auch nicht mit. Ein Fall für die Whitelist oder zum Ignorieren.

Bei der Apple-Domain wird es vermutlich änlich sein, also iOS oder eine App die (im Hintergrund) nach Updates sucht.

Diese Background-Update Funktionen besitzen heute soviele Programme/Apps, dass Du mit dem Whitelisten irgendwann nicht mehr hinterher kommen wirst, daher kannst Du diese Logszeilen getrost ignorieren.

Falls Dich interessiert welches Programm da was genau möchte, dann kannst Du Dir das Ganze mal mit tcpdump/whireshark anschauen.