Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Программное обеспечение Linux и FreeBSD » Squid+HTTPS

Ответить
Настройки темы
Squid+HTTPS

Старожил


Сообщения: 186
Благодарности: 2

Профиль | Отправить PM | Цитировать


Изменения
Автор: Ruldik
Дата: 04-02-2013
Доброго времени суток! Сейчас настроено так: в политиках домена прописал проксю, в конфигах squid прокси не прозрачный, в iptables прописано
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128
HTTP запросы проходят нормально и фильтруются, а вот HTTPS не хочет, при этом access.log отображаются https-запросы. Если в самом браузере прописать проксю, то https робит.
Можно как то сделать чтоб не надо было ручками указывать прокси?

Отправлено: 15:03, 04-02-2013

 
exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


я хз тогда... что в логах сквида?
а также конфиг сквида хорошо бы увидеть.

-------
Вежливый клиент всегда прав!


Отправлено: 18:53, 05-02-2013 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


во-первых: логи и конфиг - в тему, а не мне в ПМ.
во-вторых:
Цитата:
http_port 192.168.2.21:3128 transparent
у вас прозрачный прокси!!! Он не работает с HTTPS. Только с HTTP!

-------
Вежливый клиент всегда прав!


Отправлено: 11:10, 06-02-2013 | #12


Старожил


Сообщения: 186
Благодарности: 2

Профиль | Отправить PM | Цитировать


transparent - убирал, такая же песня
Сбросил полностью iptables, указал проксю в браузере, а так же "Использовать этот прокси-сервер для всех протоколов". HTTP фильтруется, а HTTPS не хочет, часть access.log


1360133709.895 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133712.829 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.011 2 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.740 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133830.504 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133831.304 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.137 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.939 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133833.798 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360134028.512 2 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html
1360134034.028 1 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html

-------
gt-customs.ru


Последний раз редактировалось Ruldik, 06-02-2013 в 12:31.


Отправлено: 11:45, 06-02-2013 | #13

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


что-т я не понимаю ваш конфиг. выложите полный конфиг (без комментов) на форум, пусть все посмотрят.
я даже авторизации не вижу...

-------
Вежливый клиент всегда прав!


Отправлено: 12:39, 06-02-2013 | #14


Старожил


Сообщения: 186
Благодарности: 2

Профиль | Отправить PM | Цитировать


конфиг squid

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 30
redirector_bypass on

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src 192.168.2.0/24 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 192.168.2.21:3128
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 1024 16 256
coredump_dir /var/spool/squid
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
visible_hostname Area-51
cache_effective_user nobody
cache_effective_group nobody
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Отправлено: 13:04, 06-02-2013 | #15

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Ruldik, я вам давал ссылку на свой конфиг... с авторизацией в AD. Читали?

-------
Вежливый клиент всегда прав!


Отправлено: 13:10, 06-02-2013 | #16


Старожил


Сообщения: 186
Благодарности: 2

Профиль | Отправить PM | Цитировать


да. конечно. Вот что то у меня не получилось! А без авторизации в AD можно настроить?

-------
gt-customs.ru


Отправлено: 13:19, 06-02-2013 | #17

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата Ruldik:
А без авторизации в AD можно настроить? »
да, а смысл? в этом вся прелесть прокси... не зависимо от того, кто за каким компом работает - авторизация по пользователю.
Там авторизация легко настраивается. Я рекомендую вам вначале протестировать на виртуальном домене, что бы не трогать рабочий.

Без авторизации - это прозрачный прокси. Он же "человек-по-середине". От которого HTTPS и защищён. Авторизация по IP не в счёт.

-------
Вежливый клиент всегда прав!


Отправлено: 13:42, 06-02-2013 | #18


Старожил


Сообщения: 186
Благодарности: 2

Профиль | Отправить PM | Цитировать


Почему без авторизации, у меня есть часть клиентов, которые не домене и приходящие девайсы, типа Wi-Fi.

-------
gt-customs.ru


Отправлено: 13:58, 06-02-2013 | #19

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата Ruldik:
Почему без авторизации»
Цитата exo:
Авторизация по IP не в счёт.»

-------
Вежливый клиент всегда прав!


Отправлено: 14:43, 06-02-2013 | #20



Компьютерный форум OSzone.net » Linux и FreeBSD » Программное обеспечение Linux и FreeBSD » Squid+HTTPS

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Debian/Ubuntu - Прозрачный Squid + HTTPS CJ F.A.N. Общий по Linux 9 15-02-2012 12:29
2008 R2 - https+iis hotsauce Windows Server 2008/2008 R2 0 30-11-2011 19:02
TMG и https Jamadharma ISA Server / Microsoft Forefront TMG 4 10-10-2011 15:13
Взлом HTTPS сайта dimmy Хочу все знать 3 07-05-2003 09:49
Гребаный https Guest Общий по Linux 9 18-04-2003 05:51




 
Переход