|
Компьютерный форум OSzone.net » Linux и FreeBSD » Программное обеспечение Linux и FreeBSD » Squid+HTTPS |
|
Squid+HTTPS
|
Старожил Сообщения: 186 |
Профиль | Отправить PM | Цитировать
Доброго времени суток! Сейчас настроено так: в политиках домена прописал проксю, в конфигах squid прокси не прозрачный, в iptables прописано
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128 HTTP запросы проходят нормально и фильтруются, а вот HTTPS не хочет, при этом access.log отображаются https-запросы. Если в самом браузере прописать проксю, то https робит. Можно как то сделать чтоб не надо было ручками указывать прокси? |
|
Отправлено: 15:03, 04-02-2013 |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать я хз тогда... что в логах сквида?
а также конфиг сквида хорошо бы увидеть. |
------- Отправлено: 18:53, 05-02-2013 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать во-первых: логи и конфиг - в тему, а не мне в ПМ.
во-вторых: Цитата:
|
|
------- Отправлено: 11:10, 06-02-2013 | #12 |
Старожил Сообщения: 186
|
Профиль | Отправить PM | Цитировать transparent - убирал, такая же песня
Сбросил полностью iptables, указал проксю в браузере, а так же "Использовать этот прокси-сервер для всех протоколов". HTTP фильтруется, а HTTPS не хочет, часть access.log 1360133709.895 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133712.829 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133829.011 2 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133829.740 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133830.504 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133831.304 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133832.137 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133832.939 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360133833.798 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- - 1360134028.512 2 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html 1360134034.028 1 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html |
------- Последний раз редактировалось Ruldik, 06-02-2013 в 12:31. Отправлено: 11:45, 06-02-2013 | #13 |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать что-т я не понимаю ваш конфиг. выложите полный конфиг (без комментов) на форум, пусть все посмотрят.
я даже авторизации не вижу... |
------- Отправлено: 12:39, 06-02-2013 | #14 |
Старожил Сообщения: 186
|
Профиль | Отправить PM | Цитировать конфиг squid
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf redirect_children 30 redirector_bypass on acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 #acl localnet src 10.0.0.0/8 # RFC1918 possible internal network #acl localnet src 172.16.0.0/12 # RFC1918 possible internal network #acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src 192.168.2.0/24 # RFC1918 possible internal network #acl localnet src fc00::/7 # RFC 4193 local private network range #acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports #http_access deny to_localhost http_access allow localnet http_access allow localhost http_access deny all http_port 192.168.2.21:3128 hierarchy_stoplist cgi-bin ? cache_dir ufs /var/spool/squid 1024 16 256 coredump_dir /var/spool/squid cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log visible_hostname Area-51 cache_effective_user nobody cache_effective_group nobody refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 |
Отправлено: 13:04, 06-02-2013 | #15 |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать Ruldik, я вам давал ссылку на свой конфиг... с авторизацией в AD. Читали?
|
------- Отправлено: 13:10, 06-02-2013 | #16 |
Старожил Сообщения: 186
|
Профиль | Отправить PM | Цитировать да. конечно. Вот что то у меня не получилось! А без авторизации в AD можно настроить?
|
------- Отправлено: 13:19, 06-02-2013 | #17 |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать Цитата Ruldik:
Там авторизация легко настраивается. Я рекомендую вам вначале протестировать на виртуальном домене, что бы не трогать рабочий. Без авторизации - это прозрачный прокси. Он же "человек-по-середине". От которого HTTPS и защищён. Авторизация по IP не в счёт. |
|
------- Отправлено: 13:42, 06-02-2013 | #18 |
Старожил Сообщения: 186
|
Профиль | Отправить PM | Цитировать Почему без авторизации, у меня есть часть клиентов, которые не домене и приходящие девайсы, типа Wi-Fi.
|
------- Отправлено: 13:58, 06-02-2013 | #19 |
Ветеран Сообщения: 12417
|
Профиль | Отправить PM | Цитировать |
------- Отправлено: 14:43, 06-02-2013 | #20 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Debian/Ubuntu - Прозрачный Squid + HTTPS | CJ F.A.N. | Общий по Linux | 9 | 15-02-2012 12:29 | |
2008 R2 - https+iis | hotsauce | Windows Server 2008/2008 R2 | 0 | 30-11-2011 19:02 | |
TMG и https | Jamadharma | ISA Server / Microsoft Forefront TMG | 4 | 10-10-2011 15:13 | |
Взлом HTTPS сайта | dimmy | Хочу все знать | 3 | 07-05-2003 09:49 | |
Гребаный https | Guest | Общий по Linux | 9 | 18-04-2003 05:51 |
|