Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Прозрачный Squid + HTTPS

Ответить
Настройки темы
Debian/Ubuntu - Прозрачный Squid + HTTPS

Аватара для CJ F.A.N.

Ветеран


Сообщения: 565
Благодарности: 30


Конфигурация

Профиль | Сайт | Отправить PM | Цитировать


Всем привет! Стали мне жаловаться работники нашей организации, что https не работает. И действительно, прозрачный Squid, как я понял, https не пропускает через себя. Ну временно проблему я решил вот таким костылем в iptables:
Код: Выделить весь код
iptables -t nat -A POSTROUTING -p tcp --destination-port 443 -j MASQUERADE
но это конечно же не айс, так как:
1) идет мимо Кальмара => все мои правила и настройки, lightsquid и прочее накрывается медным тазом.
2) Кальмар раздает клиентам ДНС сервер, который фильтрует контент. И файрвол, Кальмар, настроены так, чтобы не пускать юзеров через левые прокси. Следовательно, мой "костыль" все это ломает.

Подскажите, можно ли как то упомянутые выше две проблемы все таки решить, используя Transparent Squid, и при этом разрешить https? Заранее благодарю

-------
Опыт растет прямо пропорционально выведенному из строя оборудованию


Отправлено: 09:56, 14-02-2012

 

Старожил


Сообщения: 232
Благодарности: 1

Профиль | Отправить PM | Цитировать


надо этот порт завернуть на поркси. У меня так правда http протокол
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Отправлено: 15:49, 14-02-2012 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для CJ F.A.N.

Ветеран


Сообщения: 565
Благодарности: 30

Профиль | Сайт | Отправить PM | Цитировать


это уже сделал.... если ткнуть мордой клиент, точнее веб браузер у клиента, что надо юзать мой прокси, то работает. Но какая же это прозрачность......... Плюс, почему то трафик Lightsquid этот не считает, а мне это ох как нужно.....Ну так что, уважаемые жители форума, есть варианты? Перелопатил весь Гугл, но толком ничего не нашел. Единственное, видал какие то упоминания о каком то TPROXY что-ли. Типа надо там ядро перекомпилить, Кальмара самого перекомпилировать со спец.патчем..... Эти варианты отпадают, так как вмешиваться в стабильный исходник Кальмара не охота..... Оф сайт вроде сообщает, что нельзя. Но! Я лично видел работающий Кальмар, и клиенты подключались к нему прозрачно, без настроек! И при этом хттпс полностью работал, и трафик подсчитывался полностью. Значит можно как-то пошаманить. Помогите, очень прошу. Думаю, не мне одному это интересно

-------
Опыт растет прямо пропорционально выведенному из строя оборудованию


Отправлено: 20:31, 14-02-2012 | #3

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата CJ F.A.N.:
Оф сайт вроде сообщает, что нельзя »
и это ограничение не Squid. Это особенность протокола SSL - он предотвращает "человека по середине", каким является squid в режиме "прозрачный"

вот одна из статей где это написано, почти в самом низу.

-------
Вежливый клиент всегда прав!


Последний раз редактировалось exo, 14-02-2012 в 21:12.


Отправлено: 21:04, 14-02-2012 | #4


Старожил


Сообщения: 232
Благодарности: 1

Профиль | Отправить PM | Цитировать


Что-то я не понял, прозрачный прокси это когда не надо настраивать браузер?

Отправлено: 22:08, 14-02-2012 | #5


Аватара для CJ F.A.N.

Ветеран


Сообщения: 565
Благодарности: 30

Профиль | Сайт | Отправить PM | Цитировать


Цитата ~user~:
Что-то я не понял, прозрачный прокси это когда не надо настраивать браузер? »
да, именно!
хорошо. Я как это понял. Если тыкаем браузер носиком, что надобно к проксю обращаться, то Кальмар создает туннель, так? При абсолютном прозрачном проксировании, без указаний настроек в браузере, 443 порт не обслуживается. Вопросов нет, каков он есть-хттпс, пусть таким и останется. Но! как сделать так, чтобы Squid заносил в лог https сайты (следовательно, чтобы lightsquid в отчете указывал все это дело)???и еще вопрос в догонку. Squid раздает клиентам dns специальный. Но, если файрвол настроен:
Код: Выделить весь код
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
, то компы, которые выходят в инет с принудительным указанием HTTPS прокси, тоже будут получать этот DNS? И еще в догонку: смогут ли компы, подключенные через явно указанный HTTPS прокси, использовать левые dns ?

exo, и все таки.......... лично видел
Цитата:
работающий Кальмар, и клиенты подключались к нему прозрачно, без настроек! И при этом хттпс полностью работал, и трафик подсчитывался полностью
......... было это сделано одним шаманом сисадмином, с которым не могу связаться...... Я его спрашивал еще давно, вроде он сказал, что ничего в исходниках он не менял, а просто прикрутил какую-то софтину еще, которая, вспомнить бы.....подменяет сертификат что-ли........что-то в этом роде

-------
Опыт растет прямо пропорционально выведенному из строя оборудованию


Отправлено: 22:51, 14-02-2012 | #6

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата CJ F.A.N.:
И еще в догонку: смогут ли компы, подключенные через явно указанный HTTPS прокси, использовать левые dns »
насколько я знаю, и по опыту было - когда используется прокси - шлюз по умолчанию и днс в сетевых настройках игнорируется.
Цитата CJ F.A.N.:
было это сделано одним шаманом сисадмином, с которым не могу связаться...... »
вы уж свяжитесь. мне интересно, что он там сделал.
Цитата CJ F.A.N.:
Если тыкаем браузер носиком, что надобно к проксю обращаться, то Кальмар создает туннель, так? »
вроде того. в этом случае сквид выступает от имени пользователя. А почему вы не хотите настроить браузеры? Сеть у вас с доменом?

-------
Вежливый клиент всегда прав!


Отправлено: 23:05, 14-02-2012 | #7


Аватара для CJ F.A.N.

Ветеран


Сообщения: 565
Благодарности: 30

Профиль | Сайт | Отправить PM | Цитировать


Цитата exo:
когда используется прокси - шлюз по умолчанию и днс в сетевых настройках игнорируется »
то есть, хоть что там они вобьют, будут использоваться ТОЛЬКО службы прокси-сервера(а значит, в моем случае, будет в любом случае принудительно использоваться нужный днс сервер)?
Мне в принципе все равно, настраивать или нет, просто 119 компов настраивать..................Кстати, есть же опция ""Автоматическое определение настроек прокси"!? Реализуемо ли такое в моем случае? DHCP на сервере нет, скажу сразу.
И еще. Мне самое главное, чтобы с клиентов не могли юзать сторонние днс\прокси, так как фильтрация контента идет через DNS серверы NETPOLICE, и на Кальмаре еще куча правил, и чтобы трафик считался, как http, так и https...
Лишь бы этот 443 порт не создал мне дополнительных неудобств

З.Ы.: домена нет.........Знаю, ужасно)))))Недавно работаю там, раньше вообще 119 компов были через хабы напрямую к адсл роутеру подключены))))))))

-------
Опыт растет прямо пропорционально выведенному из строя оборудованию


Отправлено: 23:15, 14-02-2012 | #8


ИО Капитана Очевидности


Contributor


Сообщения: 5382
Благодарности: 1105

Профиль | Отправить PM | Цитировать


Цитата CJ F.A.N.:
Но, если файрвол настроен:
Код:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
, то компы, которые выходят в инет с принудительным указанием HTTPS прокси, тоже будут получать этот DNS? »
Прозрачный прокси обрабатывает HTTP, потому что в файрволле существует правило, которое заворачивает трафик к порту 80 на вход прокси. Чтобы прозрачно обрабатывать HTTPS, нужно для начала прописать заворачивание для порта 443

Цитата CJ F.A.N.:
Кстати, есть же опция ""Автоматическое определение настроек прокси"!? »
Это оочень глючная опция
Цитата CJ F.A.N.:
Реализуемо ли такое в моем случае? DHCP на сервере нет, скажу сразу. »
Для IE это реализуется через групповую политику домена. В случае её активации IE никакие другие использовать не сможет.
FF и другие программы могут работать в режиме "использовать системные настройки"

Цитата CJ F.A.N.:
Мне самое главное, чтобы с клиентов не могли юзать сторонние днс\прокси »
В принципе, ушлые пользователи могут перенастроить FF и другие программы. Однако можно просто настроить файрволл на блокирование любых исходящих подключений.
Или сделать прокси-сервер отдельным компьютером, а на шлюзе запретить любой исходящий трафик, кроме как с адреса прокси-сервера.

UPD.
Забыл, что речь идёт про Linux, а не про Windows
Для автоматической настройки прокси можно написать скрипт, который будет записывать нужные значения в конфиги системы и пользователей

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

Это сообщение посчитали полезным следующие участники:

Отправлено: 05:25, 15-02-2012 | #9

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата CJ F.A.N.:
домена нет.........Знаю, ужасно »
если будете переводить компы в домен, прочитайте про настройку авторизации: NTLM KERBEROS

-------
Вежливый клиент всегда прав!


Отправлено: 12:29, 15-02-2012 | #10



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Прозрачный Squid + HTTPS

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
FreeBSD - Прозрачный прокси SQUID + Авторизация askmevo Общий по FreeBSD 3 28-07-2011 15:25
Debian/Ubuntu - [решено] Squid. Прозрачный прокси на 2 локальной сети CJ F.A.N. Общий по Linux 2 23-07-2011 21:17
FreeBSD - прозрачный прокси cail Общий по FreeBSD 24 26-09-2008 13:00
Прозрачный прокси Guest Сетевые технологии 3 25-06-2004 07:06
Прозрачный флеш Nealles Вебмастеру 2 16-03-2004 04:58




 
Переход