Доброго времени суток! Сейчас настроено так: в политиках домена прописал проксю, в конфигах squid прокси не прозрачный, в iptables прописано
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128
HTTP запросы проходят нормально и фильтруются, а вот HTTPS не хочет, при этом access.log отображаются https-запросы. Если в самом браузере прописать проксю, то https робит.
Можно как то сделать чтоб не надо было ручками указывать прокси?

Можно как то сделать чтоб не надо было ручками указывать прокси? »
политикой GPO всем назначить? +wpad

и зачем делать редирект, когда у вас не прозрачный прокси? его обычно делают при прозрачном проксировании.

политикой GPO всем назначить? »
я в политиках указал проксю
wpad »
можно по подробней.

http://technet.microsoft.com/ru-ru/library/cc940962(v=ws.10).aspx
где http://<SecurityServerName>:<PortNumber>/wpad.dat - любой веб-сервер с файлом wpad.dat
У меня он на самом же прокси стоит.
содержание wpad.dat у меня такое:
function FindProxyForURL(url, host)
{ $proxy = "PROXY squid.domian.local:3128";
// URLs within this network are accessed direct
if (isInNet(host, "192.168.10.0", "255.255.0.0")) {return "DIRECT";}
if (isInNet(host, "127.0.0.0", "255.0.0.0")) {return "DIRECT";}
//Return proxy for EVERYTHING else
else return $proxy;
}

В поле Строка введите http://<SecurityServerName>:<PortNumber>/wpad.dat, я так понял здесь надо указать например http://192.168.2.144:3128/wpad.dat
Спасибо. Попробую. О результатах отпишу.
P.S. А у Вас такая настройка с HTTPS дружит?

нет, порт указывается веб-сервера. по умолчанию он 80. ваш wpad файл должен быть доступен через бразуер. Т.е. вы его можете скачать.
P.S. А у Вас такая настройка с HTTPS дружит? »
да. подробнее (http://www.exonix.ru/?ud213wwh1as8nv1tgbxuaeu.htm) но у меня прокси работает не как НАТ.

Погуглив (http://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol#.D0.A2.D1.80.D0.B5.D0.B1.D0.BE.D0.B2.D0.B0.D0.BD.D0.B8.D1.8F (http://)), я понял, что необязательно вводить машину в домен. Достаточно создать файл wpad.dat на веб-сервере и настроить WPAD в домене?!

Ruldik, у меня авторизация через AD. следовательно все машины в домене.

Сделал как здесь http://technet.microsoft.com/ru-ru/l...=ws.10%29.aspx , создал wpad.dat , разместил его на веб-сервере, при переходе по адресу файл wpad.dat скачивается, в политиках прописал путь к файлу http://192.168.2.1:80/wpad.dat , в настройках браузера прописывается wpad.dat , но на проксю не заруливает.

Сделал как здесь http://technet.microsoft.com/ru-ru/l...=ws.10%29.aspx , создал wpad.dat , разместил его на веб-сервере, при переходе по адресу файл wpad.dat скачивается, в политиках прописал путь к файлу http://192.168.2.1:80/wpad.dat , в настройках браузера прописывается wpad.dat , но на проксю не заруливает. »
Заработало, только HTTPS всё равно не пропускает!!!

я хз тогда... что в логах сквида?
а также конфиг сквида хорошо бы увидеть.

во-первых: логи и конфиг - в тему, а не мне в ПМ.
во-вторых:
http_port 192.168.2.21:3128 transparent
у вас прозрачный прокси!!! Он не работает с HTTPS. Только с HTTP!

transparent - убирал, такая же песня
Сбросил полностью iptables, указал проксю в браузере, а так же "Использовать этот прокси-сервер для всех протоколов". HTTP фильтруется, а HTTPS не хочет, часть access.log


1360133709.895 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133712.829 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.011 2 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.740 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133830.504 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133831.304 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.137 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.939 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133833.798 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360134028.512 2 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html
1360134034.028 1 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html

что-т я не понимаю ваш конфиг. выложите полный конфиг (без комментов) на форум, пусть все посмотрят.
я даже авторизации не вижу...

конфиг squid

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 30
redirector_bypass on

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src 192.168.2.0/24 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 192.168.2.21:3128
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 1024 16 256
coredump_dir /var/spool/squid
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
visible_hostname Area-51
cache_effective_user nobody
cache_effective_group nobody
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Ruldik, я вам давал ссылку на свой конфиг... с авторизацией в AD. Читали?

да. конечно. Вот что то у меня не получилось! А без авторизации в AD можно настроить?

А без авторизации в AD можно настроить? »
да, а смысл? в этом вся прелесть прокси... не зависимо от того, кто за каким компом работает - авторизация по пользователю.
Там авторизация легко настраивается. Я рекомендую вам вначале протестировать на виртуальном домене, что бы не трогать рабочий.

Без авторизации - это прозрачный прокси. Он же "человек-по-середине". От которого HTTPS и защищён. Авторизация по IP не в счёт.

Почему без авторизации, у меня есть часть клиентов, которые не домене и приходящие девайсы, типа Wi-Fi.

Почему без авторизации»
Авторизация по IP не в счёт.»