Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Программное обеспечение Linux и FreeBSD (http://forum.oszone.net/forumdisplay.php?f=11)
-   -   Squid+HTTPS (http://forum.oszone.net/showthread.php?t=253153)

Ruldik 04-02-2013 15:03 2082284

Squid+HTTPS
 
Доброго времени суток! Сейчас настроено так: в политиках домена прописал проксю, в конфигах squid прокси не прозрачный, в iptables прописано
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128
HTTP запросы проходят нормально и фильтруются, а вот HTTPS не хочет, при этом access.log отображаются https-запросы. Если в самом браузере прописать проксю, то https робит.
Можно как то сделать чтоб не надо было ручками указывать прокси?

exo 04-02-2013 17:06 2082364

Цитата:

Цитата Ruldik
Можно как то сделать чтоб не надо было ручками указывать прокси? »

политикой GPO всем назначить? +wpad

и зачем делать редирект, когда у вас не прозрачный прокси? его обычно делают при прозрачном проксировании.

Ruldik 04-02-2013 17:41 2082389

Цитата:

Цитата exo
политикой GPO всем назначить? »

я в политиках указал проксю
Цитата:

Цитата exo
wpad »

можно по подробней.

exo 04-02-2013 17:55 2082406

http://technet.microsoft.com/ru-ru/l...(v=ws.10).aspx
где http://<SecurityServerName>:<PortNumber>/wpad.dat - любой веб-сервер с файлом wpad.dat
У меня он на самом же прокси стоит.
содержание wpad.dat у меня такое:
Цитата:

function FindProxyForURL(url, host)
{ $proxy = "PROXY squid.domian.local:3128";
// URLs within this network are accessed direct
if (isInNet(host, "192.168.10.0", "255.255.0.0")) {return "DIRECT";}
if (isInNet(host, "127.0.0.0", "255.0.0.0")) {return "DIRECT";}
//Return proxy for EVERYTHING else
else return $proxy;
}

Ruldik 04-02-2013 17:59 2082410

В поле Строка введите http://<SecurityServerName>:<PortNumber>/wpad.dat, я так понял здесь надо указать например http://192.168.2.144:3128/wpad.dat
Спасибо. Попробую. О результатах отпишу.
P.S. А у Вас такая настройка с HTTPS дружит?

exo 04-02-2013 18:40 2082447

нет, порт указывается веб-сервера. по умолчанию он 80. ваш wpad файл должен быть доступен через бразуер. Т.е. вы его можете скачать.
Цитата:

Цитата Ruldik
P.S. А у Вас такая настройка с HTTPS дружит? »

да. подробнее но у меня прокси работает не как НАТ.

Ruldik 05-02-2013 13:43 2082945

Погуглив (http://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol#.D0.A2.D1.80.D0.B5.D0.B1.D0.BE.D0.B2.D0.B0.D0.BD.D0.B8.D1.8F), я понял, что необязательно вводить машину в домен. Достаточно создать файл wpad.dat на веб-сервере и настроить WPAD в домене?!

exo 05-02-2013 14:08 2082960

Ruldik, у меня авторизация через AD. следовательно все машины в домене.

Ruldik 05-02-2013 17:55 2083126

Сделал как здесь http://technet.microsoft.com/ru-ru/l...=ws.10%29.aspx , создал wpad.dat , разместил его на веб-сервере, при переходе по адресу файл wpad.dat скачивается, в политиках прописал путь к файлу http://192.168.2.1:80/wpad.dat , в настройках браузера прописывается wpad.dat , но на проксю не заруливает.

Ruldik 05-02-2013 18:49 2083171

Цитата:

Цитата Ruldik
Сделал как здесь http://technet.microsoft.com/ru-ru/l...=ws.10%29.aspx , создал wpad.dat , разместил его на веб-сервере, при переходе по адресу файл wpad.dat скачивается, в политиках прописал путь к файлу http://192.168.2.1:80/wpad.dat , в настройках браузера прописывается wpad.dat , но на проксю не заруливает. »

Заработало, только HTTPS всё равно не пропускает!!!

exo 05-02-2013 18:53 2083172

я хз тогда... что в логах сквида?
а также конфиг сквида хорошо бы увидеть.

exo 06-02-2013 11:10 2083546

во-первых: логи и конфиг - в тему, а не мне в ПМ.
во-вторых:
Цитата:

http_port 192.168.2.21:3128 transparent
у вас прозрачный прокси!!! Он не работает с HTTPS. Только с HTTP!

Ruldik 06-02-2013 11:45 2083570

transparent - убирал, такая же песня
Сбросил полностью iptables, указал проксю в браузере, а так же "Использовать этот прокси-сервер для всех протоколов". HTTP фильтруется, а HTTPS не хочет, часть access.log


1360133709.895 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133712.829 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.011 2 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.740 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133830.504 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133831.304 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.137 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.939 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133833.798 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360134028.512 2 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html
1360134034.028 1 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html

exo 06-02-2013 12:39 2083603

что-т я не понимаю ваш конфиг. выложите полный конфиг (без комментов) на форум, пусть все посмотрят.
я даже авторизации не вижу...

Ruldik 06-02-2013 13:04 2083617

конфиг squid

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 30
redirector_bypass on

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src 192.168.2.0/24 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 192.168.2.21:3128
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 1024 16 256
coredump_dir /var/spool/squid
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
visible_hostname Area-51
cache_effective_user nobody
cache_effective_group nobody
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

exo 06-02-2013 13:10 2083624

Ruldik, я вам давал ссылку на свой конфиг... с авторизацией в AD. Читали?

Ruldik 06-02-2013 13:19 2083629

да. конечно. Вот что то у меня не получилось! А без авторизации в AD можно настроить?

exo 06-02-2013 13:42 2083646

Цитата:

Цитата Ruldik
А без авторизации в AD можно настроить? »

да, а смысл? в этом вся прелесть прокси... не зависимо от того, кто за каким компом работает - авторизация по пользователю.
Там авторизация легко настраивается. Я рекомендую вам вначале протестировать на виртуальном домене, что бы не трогать рабочий.

Без авторизации - это прозрачный прокси. Он же "человек-по-середине". От которого HTTPS и защищён. Авторизация по IP не в счёт.

Ruldik 06-02-2013 13:58 2083657

Почему без авторизации, у меня есть часть клиентов, которые не домене и приходящие девайсы, типа Wi-Fi.

exo 06-02-2013 14:43 2083692

Цитата:

Цитата Ruldik
Почему без авторизации»

Цитата:

Цитата exo
Авторизация по IP не в счёт.»


Ruldik 06-02-2013 15:36 2083741

И всё таки как быть с пользователями
Цитата:

Цитата Ruldik
которые не в домене и приходящие девайсы, типа Wi-Fi »


exo 06-02-2013 15:41 2083746

для тех кто не в домене: можно оставить и авторизацию, но только они в ручную её будут вводить в браузер. что не удобно.
для всех остальных - прозрачный прокси, со всем последствиями.

Ruldik 06-02-2013 16:12 2083773

Цитата:

Цитата exo
для тех кто не в домене: можно оставить и авторизацию, но только они в ручную её будут вводить в браузер. что не удобно. »

Вот в этом то и проблема, поэтому я остановился на варианте без авторизации, даже готов отказаться от "прозрачности" в пользу контроля. Но вот блин этот HTTPS....
Я так понял без авторизации, HTTPS через Squid не запустить?

exo 06-02-2013 16:32 2083784

Цитата:

Цитата Ruldik
Я так понял без авторизации, HTTPS через Squid не запустить? »

и не только через сквид. это ограничение не сквида, а самого HTTPS. Хотя, где-то были стать, что кому-то это как-то удавалось...

Ruldik 07-02-2013 09:22 2084306

Разобрался, HTTPS заруливает на Squid.

1360224901.512 174996 192.168.2.111 TCP_MISS/200 15932 CONNECT www.google.ru:443 - DIRECT/173.194.71.94 -

Вот только, если я указываю на запрет например vk.com, не происходит DIRECT на страницу запрета!!!

1360224744.750 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -

exo 07-02-2013 12:51 2084434

Цитата:

Цитата Ruldik
Вот только, если я указываю на запрет например vk.com »

а как запрет указываете?

Ruldik 07-02-2013 13:23 2084467

у меня SquidGuard, в файле domain, прописываю vk.com
может так надо vk.com:443 ?

Если быть точнее, то у меня некоторых пользователей запрещено всё кроме определенных сайтов!

exo 07-02-2013 14:18 2084508

по скидгуарду не подскажу...

Ruldik 07-02-2013 14:20 2084512

Вы чем пользуетесь и как у Вас прописано?

exo 07-02-2013 14:31 2084524

да пока ни чем. мы не блокируем. у нас идёт просто учёт посещаемости.
если был на сайте - объяснительную. Да и фирме по работе нужно быть на таких сайтах.
Но на другой работе у меня rejik пользовались. но как там настроено, я не знаю.

Ruldik 07-02-2013 15:40 2084580

Предполагаю что редирект не происходит с HTTPS на HTTP!
Я правильно думаю?

exo 07-02-2013 17:02 2084633

не, должен работать. по крайней мере обратно работает :)
на неделе планирую написать краткую доку про сквид и ограничения.

Ruldik 07-02-2013 17:51 2084680

ограничивать чем будете, Squid или SquidGuard?

exo 07-02-2013 17:58 2084691

Ruldik, я буду рассматривать много различных вариантов. и нет такого: сквид или гуард. Т.к. гуард ставится поверх сквида. )

Ruldik 07-02-2013 18:00 2084698

Ну чтож подождем, посмотрим. Где можно будет посмотреть?

exo 08-02-2013 03:11 2085029

позже ссылку дам.

exo 19-02-2013 19:29 2094507

кстати. SSL в прозрачном прокси http://xn--c1aaozhd.xn--p1ai/?p=451 + http://wiki.squid-cache.org/Features/SslBump
но я пока не понял суть. + у клиента в браузере будет предупреждение что он работает через прокси.

Rezor666 20-02-2013 09:55 2094901

Ruldik, SquidGuard не блокирует https сайты. Тоже была такая проблема.
Если начнете блочить по Layer-7 то обретёте проблемы с открыванием страницы где есть лайки и прочая муть от vk.com
Мне пришлось забанить ip адреса https от vk.com

exo 20-02-2013 10:44 2094920

Цитата:

Цитата Rezor666
прочая муть от vk.com. Мне пришлось забанить ip адреса https от vk.com »

так это ж первый сайт, который банят...

Rezor666 20-02-2013 11:32 2094954

exo, Я не люблю банить ip адреса но увы иного варианта я не нашел.
И то забанил только у одного пользователя.

Ruldik 20-03-2013 17:11 2115037

Всем доброго времени суток! Поиск по форуму и просторам интернета особого результата не дал. Вот решил еще раз обратиться к профессионалам. Известно что прозрачный squid не работает с https, пробую смотреть в сторону iptables, но что безрезультатно. Прописываю
iptables -t nat -A PREROUTING --src адрес_пользователя --dst vk.com -p tcp --dport 443 -j REDIRECT --to-ports 80
Так же пробовал
iptables -t nat -A PREROUTING --src адрес_пользователя --dst vk.com -p tcp --dport 443 -j DNAT --to-destination ip адрес машины со страницей блокировки
Уважаемые спецы прошу помощи!

Ruldik 01-04-2013 10:38 2123291

Народ помогите средствами iptables завернуть HTTPS - трафик на локальный веб-серв, т.е. на страницу блокировки.

trancid 06-09-2016 16:07 2666210

Ruldik, погляди тут http://linux-admin.tk/?action=viewArticle&articleId=31

CJ F.A.N. 27-01-2018 12:22 2794046

Некропостинг детектед, но все же.
Если кто-то забрёл сюда, то здесь написал, как сделать то, что в статье просят. Предыдущий пост со ссылкой считайте недействительным, так как у меня домен спёрли.


Время: 20:14.

Время: 20:14.
© OSzone.net 2001-