Прозрачный Squid + HTTPS
 

Всем привет! Стали мне жаловаться работники нашей организации, что https не работает. И действительно, прозрачный Squid, как я понял, https не пропускает через себя. Ну временно проблему я решил вот таким костылем в iptables:
но это конечно же не айс, так как:
1) идет мимо Кальмара => все мои правила и настройки, lightsquid и прочее накрывается медным тазом.
2) Кальмар раздает клиентам ДНС сервер, который фильтрует контент. И файрвол, Кальмар, настроены так, чтобы не пускать юзеров через левые прокси. Следовательно, мой "костыль" все это ломает.

Подскажите, можно ли как то упомянутые выше две проблемы все таки решить, используя Transparent Squid, и при этом разрешить https? Заранее благодарю

надо этот порт завернуть на поркси. У меня так правда http протокол
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

это уже сделал.... если ткнуть мордой клиент, точнее веб браузер у клиента, что надо юзать мой прокси, то работает. Но какая же это прозрачность......... Плюс, почему то трафик Lightsquid этот не считает, а мне это ох как нужно.....Ну так что, уважаемые жители форума, есть варианты? Перелопатил весь Гугл, но толком ничего не нашел. Единственное, видал какие то упоминания о каком то TPROXY что-ли. Типа надо там ядро перекомпилить, Кальмара самого перекомпилировать со спец.патчем..... Эти варианты отпадают, так как вмешиваться в стабильный исходник Кальмара не охота..... Оф сайт вроде сообщает, что нельзя. Но! Я лично видел работающий Кальмар, и клиенты подключались к нему прозрачно, без настроек! И при этом хттпс полностью работал, и трафик подсчитывался полностью. Значит можно как-то пошаманить. Помогите, очень прошу. Думаю, не мне одному это интересно

и это ограничение не Squid. Это особенность протокола SSL - он предотвращает "человека по середине", каким является squid в режиме "прозрачный"

вот одна из статей где это написано, почти в самом низу.

Что-то я не понял, прозрачный прокси это когда не надо настраивать браузер?

да, именно!
хорошо. Я как это понял. Если тыкаем браузер носиком, что надобно к проксю обращаться, то Кальмар создает туннель, так? При абсолютном прозрачном проксировании, без указаний настроек в браузере, 443 порт не обслуживается. Вопросов нет, каков он есть-хттпс, пусть таким и останется. Но! как сделать так, чтобы Squid заносил в лог https сайты (следовательно, чтобы lightsquid в отчете указывал все это дело)???и еще вопрос в догонку. Squid раздает клиентам dns специальный. Но, если файрвол настроен:
, то компы, которые выходят в инет с принудительным указанием HTTPS прокси, тоже будут получать этот DNS? И еще в догонку: смогут ли компы, подключенные через явно указанный HTTPS прокси, использовать левые dns ?

exo, и все таки.......... лично видел ......... было это сделано одним шаманом сисадмином, с которым не могу связаться...... Я его спрашивал еще давно, вроде он сказал, что ничего в исходниках он не менял, а просто прикрутил какую-то софтину еще, которая, вспомнить бы.....подменяет сертификат что-ли........что-то в этом роде

насколько я знаю, и по опыту было - когда используется прокси - шлюз по умолчанию и днс в сетевых настройках игнорируется.
вы уж свяжитесь. мне интересно, что он там сделал.
вроде того. в этом случае сквид выступает от имени пользователя. А почему вы не хотите настроить браузеры? Сеть у вас с доменом?

то есть, хоть что там они вобьют, будут использоваться ТОЛЬКО службы прокси-сервера(а значит, в моем случае, будет в любом случае принудительно использоваться нужный днс сервер)?
Мне в принципе все равно, настраивать или нет, просто 119 компов настраивать..................Кстати, есть же опция ""Автоматическое определение настроек прокси"!? Реализуемо ли такое в моем случае? DHCP на сервере нет, скажу сразу.
И еще. Мне самое главное, чтобы с клиентов не могли юзать сторонние днс\прокси, так как фильтрация контента идет через DNS серверы NETPOLICE, и на Кальмаре еще куча правил, и чтобы трафик считался, как http, так и https...
Лишь бы этот 443 порт не создал мне дополнительных неудобств

З.Ы.: домена нет.........Знаю, ужасно)))))Недавно работаю там, раньше вообще 119 компов были через хабы напрямую к адсл роутеру подключены:)))))))))

Прозрачный прокси обрабатывает HTTP, потому что в файрволле существует правило, которое заворачивает трафик к порту 80 на вход прокси. Чтобы прозрачно обрабатывать HTTPS, нужно для начала прописать заворачивание для порта 443

Это оочень глючная опция :)
Для IE это реализуется через групповую политику домена. В случае её активации IE никакие другие использовать не сможет.
FF и другие программы могут работать в режиме "использовать системные настройки"

В принципе, ушлые пользователи могут перенастроить FF и другие программы. Однако можно просто настроить файрволл на блокирование любых исходящих подключений.
Или сделать прокси-сервер отдельным компьютером, а на шлюзе запретить любой исходящий трафик, кроме как с адреса прокси-сервера.

UPD.
Забыл, что речь идёт про Linux, а не про Windows
Для автоматической настройки прокси можно написать скрипт, который будет записывать нужные значения в конфиги системы и пользователей

если будете переводить компы в домен, прочитайте про настройку авторизации: NTLM KERBEROS