Wer kennt sich aus mit Squid Proxy ?

Wzut · 21 August 2020, 07:55:58

Ich möchte jemamden helfen seine bestehende und laufende Squid Config um ein,zwei Reglen zu erweitern scheitere da aber leider mit meinem Wissen.
Konkret : Für bestimmte Ziele soll ein anderer Proxy zuständig sein , d.h vermutlich mit einem Eintrag der folgenden Form :

Code Auswählen

cache_peer proxy.external.example.com parent 3128 0 no-query default
Das Problem : der zusätzliche Proxy -> proxy.external.example.com verlangt eine User/PW Kombination, diese soll aber dem Enduser nicht bekannt gemacht werden und müsste nun "hart" in der squid.conf hinterlegt werden. Jemand eine Ahnung wie dies machbar wäre ?

Wernieman · 21 August 2020, 08:18:52

Was ich mich gerade frage .. ist es überhaupt machbar?

Mir fällt nichts diesbezüglich ein ...

yersinia · 21 August 2020, 10:01:17

Aus dem Stehgreif kann ich es nicht beantworten, aber ich würde mal bei der Doku ansetzen:

Zitat==== AUTHENTICATION OPTIONS ====

   login=user:password
         If this is a personal/workgroup proxy and your parent
         requires proxy authentication.

         Note: The string can include URL escapes (i.e. %20 for
         spaces). This also means % must be written as %%.

   login=PASSTHRU
         Send login details received from client to this peer.
         Both Proxy- and WWW-Authorization headers are passed
         without alteration to the peer.
         Authentication is not required by Squid for this to work.

         Note: This will pass any form of authentication but
         only Basic auth will work through a proxy unless the
         connection-auth options are also used.

   login=PASS   Send login details received from client to this peer.
         Authentication is not required by this option.

         If there are no client-provided authentication headers
         to pass on, but username and password are available
         from an external ACL user= and password= result tags
         they may be sent instead.

         Note: To combine this with proxy_auth both proxies must
         share the same user database as HTTP only allows for
         a single login (one for proxy, one for origin server).
         Also be warned this will expose your users proxy
         password to the peer. USE WITH CAUTION

   login=*:password
         Send the username to the upstream cache, but with a
         fixed password. This is meant to be used when the peer
         is in another administrative domain, but it is still
         needed to identify each user.
         The star can optionally be followed by some extra
         information which is added to the username. This can
         be used to identify this proxy to the peer, similar to
         the login=username:password option above.

Gibbets auch in Deutsch.

Oder [Suchmaschine deiner Wahl] bemühen:
https://stackoverflow.com/questions/19199424/squid-forward-to-another-proxy-with-authentication-details-for-the-parent-prox
https://serverfault.com/questions/525206/squid-transparent-proxy-connected-to-another-proxy
https://community.spiceworks.com/topic/2094505-forward-local-squid-proxy-credentials-onto-parent

Wenn ich das richtig verstehe, wird das als plaintext übertragen, wenn squid ohne ssl läuft.

Wzut · 21 August 2020, 14:09:54

erst einmal THX , das login=user:password schaut doch schon mal gut aus, ob es das schon war werden wir dann nächste Woche sehen.
BTW: es ist nicht so das ich zu faul oder zu doof zum Google suchen bin, aber was ich an Treffer hatte war mehr verwirrend als erhellend, vllt. auch weil das Thema nun so gar nicht meine Welt ist

yersinia · 21 August 2020, 14:27:07

Zitat von: Wzut am 21 August 2020, 14:09:54BTW: es ist nicht so das ich zu faul oder zu doof zum Google suchen bin, aber was ich an Treffer hatte war mehr verwirrend als erhellend, vllt. auch weil das Thema nun so gar nicht meine Welt ist

Ja, eine Suchmaschine richtig zu füttern wenn man nicht genau weiss, wie man das Problem beschreiben soll, ist echt Driss (keine Ironie). Was immer hilft -zumindest bei Linux- ist man:

Code Auswählen

man squid
auf der Konsole oder auch bei [Suchmaschine deiner Wahl]. Und wenn man das noch um die Option cache_peer bei Letzterem erweitert, sollte man eigtl ziemlich schnell auf
http://www.squid-cache.org/Doc/config/cache_peer/
kommen.

Wzut · 21 August 2020, 19:20:08

Klar erinnert mich an den alten Witz bei der Bundeswehr mit diversen Rangabzeichen und deren Bedeutung : kann lesen, kann schreiben, kennt jemand der Lesen & Schreiben kann

OK, mir war schon klar hier mit Sicherheit Leute der letzten Gruppe zu finden und wenn man dann mit deinen Links etwas weiter spielt , bekommt man das http://www.squid-handbuch.de/hb/node30.html sogar in Deutsch .....

Wzut · 25 August 2020, 14:48:52

Zitat von: Wzut am 21 August 2020, 14:09:54
das login=user:password schaut doch schon mal gut aus

das sieht nicht nur gut aus sondern hat heute Morgen sogar zum Erfolg geführt. THX nochmal an der Stelle