Squid+HTTPS
Доброго времени суток! Сейчас настроено так: в политиках домена прописал проксю, в конфигах squid прокси не прозрачный, в iptables прописано
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128 HTTP запросы проходят нормально и фильтруются, а вот HTTPS не хочет, при этом access.log отображаются https-запросы. Если в самом браузере прописать проксю, то https робит. Можно как то сделать чтоб не надо было ручками указывать прокси? |
Цитата:
и зачем делать редирект, когда у вас не прозрачный прокси? его обычно делают при прозрачном проксировании. |
|
http://technet.microsoft.com/ru-ru/l...(v=ws.10).aspx
где http://<SecurityServerName>:<PortNumber>/wpad.dat - любой веб-сервер с файлом wpad.dat У меня он на самом же прокси стоит. содержание wpad.dat у меня такое: Цитата:
|
В поле Строка введите http://<SecurityServerName>:<PortNumber>/wpad.dat, я так понял здесь надо указать например http://192.168.2.144:3128/wpad.dat
Спасибо. Попробую. О результатах отпишу. P.S. А у Вас такая настройка с HTTPS дружит? |
|
Погуглив (http://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol#.D0.A2.D1.80.D0.B5.D0.B1.D0.BE.D0.B2.D0.B0.D0.BD.D0.B8.D1.8F), я понял, что необязательно вводить машину в домен. Достаточно создать файл wpad.dat на веб-сервере и настроить WPAD в домене?!
|
Ruldik, у меня авторизация через AD. следовательно все машины в домене.
|
Сделал как здесь http://technet.microsoft.com/ru-ru/l...=ws.10%29.aspx , создал wpad.dat , разместил его на веб-сервере, при переходе по адресу файл wpad.dat скачивается, в политиках прописал путь к файлу http://192.168.2.1:80/wpad.dat , в настройках браузера прописывается wpad.dat , но на проксю не заруливает.
|
Цитата:
|
я хз тогда... что в логах сквида?
а также конфиг сквида хорошо бы увидеть. |
во-первых: логи и конфиг - в тему, а не мне в ПМ.
во-вторых: Цитата:
|
transparent - убирал, такая же песня
Сбросил полностью iptables, указал проксю в браузере, а так же "Использовать этот прокси-сервер для всех протоколов". HTTP фильтруется, а HTTPS не хочет, часть access.log 1360133709.895 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133712.829 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133829.011 2 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133829.740 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133830.504 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133831.304 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133832.137 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133832.939 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133833.798 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360134028.512 2 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html 1360134034.028 1 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html |
что-т я не понимаю ваш конфиг. выложите полный конфиг (без комментов) на форум, пусть все посмотрят.
я даже авторизации не вижу... |
конфиг squid
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf redirect_children 30 redirector_bypass on acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 #acl localnet src 10.0.0.0/8 # RFC1918 possible internal network #acl localnet src 172.16.0.0/12 # RFC1918 possible internal network #acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src 192.168.2.0/24 # RFC1918 possible internal network #acl localnet src fc00::/7 # RFC 4193 local private network range #acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports #http_access deny to_localhost http_access allow localnet http_access allow localhost http_access deny all http_port 192.168.2.21:3128 hierarchy_stoplist cgi-bin ? cache_dir ufs /var/spool/squid 1024 16 256 coredump_dir /var/spool/squid cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log visible_hostname Area-51 cache_effective_user nobody cache_effective_group nobody refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 |
Ruldik, я вам давал ссылку на свой конфиг... с авторизацией в AD. Читали?
|
да. конечно. Вот что то у меня не получилось! А без авторизации в AD можно настроить?
|
Цитата:
Там авторизация легко настраивается. Я рекомендую вам вначале протестировать на виртуальном домене, что бы не трогать рабочий. Без авторизации - это прозрачный прокси. Он же "человек-по-середине". От которого HTTPS и защищён. Авторизация по IP не в счёт. |
Почему без авторизации, у меня есть часть клиентов, которые не домене и приходящие девайсы, типа Wi-Fi.
|
|
И всё таки как быть с пользователями
Цитата:
|
для тех кто не в домене: можно оставить и авторизацию, но только они в ручную её будут вводить в браузер. что не удобно.
для всех остальных - прозрачный прокси, со всем последствиями. |
Цитата:
Я так понял без авторизации, HTTPS через Squid не запустить? |
Цитата:
|
Разобрался, HTTPS заруливает на Squid.
1360224901.512 174996 192.168.2.111 TCP_MISS/200 15932 CONNECT www.google.ru:443 - DIRECT/173.194.71.94 - Вот только, если я указываю на запрет например vk.com, не происходит DIRECT на страницу запрета!!! 1360224744.750 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - |
Цитата:
|
у меня SquidGuard, в файле domain, прописываю vk.com
может так надо vk.com:443 ? Если быть точнее, то у меня некоторых пользователей запрещено всё кроме определенных сайтов! |
по скидгуарду не подскажу...
|
Вы чем пользуетесь и как у Вас прописано?
|
да пока ни чем. мы не блокируем. у нас идёт просто учёт посещаемости.
если был на сайте - объяснительную. Да и фирме по работе нужно быть на таких сайтах. Но на другой работе у меня rejik пользовались. но как там настроено, я не знаю. |
Предполагаю что редирект не происходит с HTTPS на HTTP!
Я правильно думаю? |
не, должен работать. по крайней мере обратно работает :)
на неделе планирую написать краткую доку про сквид и ограничения. |
ограничивать чем будете, Squid или SquidGuard?
|
Ruldik, я буду рассматривать много различных вариантов. и нет такого: сквид или гуард. Т.к. гуард ставится поверх сквида. )
|
Ну чтож подождем, посмотрим. Где можно будет посмотреть?
|
позже ссылку дам.
|
кстати. SSL в прозрачном прокси http://xn--c1aaozhd.xn--p1ai/?p=451 + http://wiki.squid-cache.org/Features/SslBump
но я пока не понял суть. + у клиента в браузере будет предупреждение что он работает через прокси. |
Ruldik, SquidGuard не блокирует https сайты. Тоже была такая проблема.
Если начнете блочить по Layer-7 то обретёте проблемы с открыванием страницы где есть лайки и прочая муть от vk.com Мне пришлось забанить ip адреса https от vk.com |
Цитата:
|
exo, Я не люблю банить ip адреса но увы иного варианта я не нашел.
И то забанил только у одного пользователя. |
Всем доброго времени суток! Поиск по форуму и просторам интернета особого результата не дал. Вот решил еще раз обратиться к профессионалам. Известно что прозрачный squid не работает с https, пробую смотреть в сторону iptables, но что безрезультатно. Прописываю
iptables -t nat -A PREROUTING --src адрес_пользователя --dst vk.com -p tcp --dport 443 -j REDIRECT --to-ports 80 Так же пробовал iptables -t nat -A PREROUTING --src адрес_пользователя --dst vk.com -p tcp --dport 443 -j DNAT --to-destination ip адрес машины со страницей блокировки Уважаемые спецы прошу помощи! |
Народ помогите средствами iptables завернуть HTTPS - трафик на локальный веб-серв, т.е. на страницу блокировки.
|
Ruldik, погляди тут http://linux-admin.tk/?action=viewArticle&articleId=31
|
Некропостинг детектед, но все же.
Если кто-то забрёл сюда, то здесь написал, как сделать то, что в статье просят. Предыдущий пост со ссылкой считайте недействительным, так как у меня домен спёрли. |
Время: 20:14. |
Время: 20:14.
© OSzone.net 2001-