Прозрачный Squid + HTTPS
Всем привет! Стали мне жаловаться работники нашей организации, что https не работает. И действительно, прозрачный Squid, как я понял, https не пропускает через себя. Ну временно проблему я решил вот таким костылем в iptables:
Код:
iptables -t nat -A POSTROUTING -p tcp --destination-port 443 -j MASQUERADE 1) идет мимо Кальмара => все мои правила и настройки, lightsquid и прочее накрывается медным тазом. 2) Кальмар раздает клиентам ДНС сервер, который фильтрует контент. И файрвол, Кальмар, настроены так, чтобы не пускать юзеров через левые прокси. Следовательно, мой "костыль" все это ломает. Подскажите, можно ли как то упомянутые выше две проблемы все таки решить, используя Transparent Squid, и при этом разрешить https? Заранее благодарю |
надо этот порт завернуть на поркси. У меня так правда http протокол
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 |
это уже сделал.... если ткнуть мордой клиент, точнее веб браузер у клиента, что надо юзать мой прокси, то работает. Но какая же это прозрачность......... Плюс, почему то трафик Lightsquid этот не считает, а мне это ох как нужно.....Ну так что, уважаемые жители форума, есть варианты? Перелопатил весь Гугл, но толком ничего не нашел. Единственное, видал какие то упоминания о каком то TPROXY что-ли. Типа надо там ядро перекомпилить, Кальмара самого перекомпилировать со спец.патчем..... Эти варианты отпадают, так как вмешиваться в стабильный исходник Кальмара не охота..... Оф сайт вроде сообщает, что нельзя. Но! Я лично видел работающий Кальмар, и клиенты подключались к нему прозрачно, без настроек! И при этом хттпс полностью работал, и трафик подсчитывался полностью. Значит можно как-то пошаманить. Помогите, очень прошу. Думаю, не мне одному это интересно
|
|
Что-то я не понял, прозрачный прокси это когда не надо настраивать браузер?
|
Цитата:
хорошо. Я как это понял. Если тыкаем браузер носиком, что надобно к проксю обращаться, то Кальмар создает туннель, так? При абсолютном прозрачном проксировании, без указаний настроек в браузере, 443 порт не обслуживается. Вопросов нет, каков он есть-хттпс, пусть таким и останется. Но! как сделать так, чтобы Squid заносил в лог https сайты (следовательно, чтобы lightsquid в отчете указывал все это дело)???и еще вопрос в догонку. Squid раздает клиентам dns специальный. Но, если файрвол настроен: Код:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 exo, и все таки.......... лично видел Цитата:
|
Цитата:
Цитата:
Цитата:
|
Цитата:
Мне в принципе все равно, настраивать или нет, просто 119 компов настраивать..................Кстати, есть же опция ""Автоматическое определение настроек прокси"!? Реализуемо ли такое в моем случае? DHCP на сервере нет, скажу сразу. И еще. Мне самое главное, чтобы с клиентов не могли юзать сторонние днс\прокси, так как фильтрация контента идет через DNS серверы NETPOLICE, и на Кальмаре еще куча правил, и чтобы трафик считался, как http, так и https... Лишь бы этот 443 порт не создал мне дополнительных неудобств З.Ы.: домена нет.........Знаю, ужасно)))))Недавно работаю там, раньше вообще 119 компов были через хабы напрямую к адсл роутеру подключены:))))))))) |
Цитата:
Цитата:
Цитата:
FF и другие программы могут работать в режиме "использовать системные настройки" Цитата:
Или сделать прокси-сервер отдельным компьютером, а на шлюзе запретить любой исходящий трафик, кроме как с адреса прокси-сервера. UPD. Забыл, что речь идёт про Linux, а не про Windows Для автоматической настройки прокси можно написать скрипт, который будет записывать нужные значения в конфиги системы и пользователей |
|
Время: 03:19. |
Время: 03:19.
© OSzone.net 2001-