Squid com https

Question

Notei que as p&aacute;ginas que utilizam https n&atilde;o passam pelo squid como proxy transparente, ai eu n&atilde;o posso bloquear. Existe um maneira de fazer isso continuando a usar o proxy transparente?

Answer

nas acls de permisss&atilde;o de portas coloca essa:

acl SSL_ports port 443 563
http_access deny !SSL_ports

a 443 &eacute; do https

Answer

Bem, acho que voc&ecirc; n&atilde;o entedeu, deixe-me tentar explicar de novo. Estou usando proxy transparente com a regra do iptables que repassa as conex&otilde;es que chegam a porta 80 para a porta 3128. Ai funciona normal, mas paginas que usam https n&atilde;o passa pelo squid e se eu mandar as requisic&otilde;es a porta 443 para a 3128 ai sim que n&atilde;o funciona mais nenhum site que usa https.

Precisa de alguma configura&ccedil;&atilde;o adicional?

Answer

da um olhada como fica o meu:


#-----------------------------------------------------------------------
###############acl para permitir acesso a algumas portas################
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
[color=red]acl SSL_ports port 443 563[/color]
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
[color=red]acl Safe_ports port 443 563 #https, news[/color]
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #portas nao registradas
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #SWAT
acl purge method PURGE
acl CONNECT method CONNECT


#-----------------------------------------------------------------------
#############################acl de gerencia############################
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
[color=red]http_access deny !Safe_ports[/color]
[color=red]http_access deny CONNECT !SSL_ports[/color]


Assim o https passar&aacute; pelo squid

Answer

Eu acho que voc&ecirc; n&atilde;o entendeu ainda, hehehe
Do jeito que est&aacute; o seu funciona beleza, se eu botar na configura&ccedil;&atilde;o do navegador pra ele usar o proxy.
Mas eu estou usando proxy TRANSPARENTE, por isso, a porta 443 n&atilde;o passa pelo squid, na verdade, s&oacute; a porta 80 &eacute; redirecionada para o squid. Se eu mando ele redirecionar a porta 443, ai sim que naum funciona os site com https.

Answer

Ahh.. foi mal, que burrice a minha, &eacute; que eu n&atilde;o uso como transparente   :lol:

Answer

Ninguem tem alguma id&eacute;ia?

Answer

O seu proxy transparente apenas redireciona as requisi&ccedil;&otilde;es da porta 80 para a 3128, por&eacute;m as requisi&ccedil;&otilde;es de https s&atilde;o feitas na porta 443 e como n&atilde;o h&aacute; regra no iptables para essa porta ele a trata como as outras portas. Voc&ecirc; pode redirecionar a porta 443 para outra porta fazendo um proxy transparente apenas para https paralelo ao de http. Nunca tentei (mas gostei da ideia), por&eacute;m tem tudo para funcionar.

[]'s
Frumple

Answer

Testei, mas parece que n&atilde;o funciona, o navegador simplesmente n&atilde;o acessa nenhuma p&aacute;gina com https.

Answer

RVR777, [color=red]n&atilde;o &eacute; poss&iacute;vel usar proxy transparente com HTTPS.[/color]

Ou uma coisa ou outra. HTTPS &eacute; um servi&ccedil;o que usa criptografia fim-a-fim; o proxy transparente insere uma m&aacute;quina no meio da comunica&ccedil;&atilde;o. O que acontece ent&atilde;o &eacute; que o proxy transparente n&atilde;o consegue fechar a conex&atilde;o com as pontas, pois as identifica&ccedil;&otilde;es/assinaturas n&atilde;o batem.

Answer

p/ esse problema vc pode excluir os endere&ccedil;os do proxy atrav&eacute;s de regra do iptables... resolvi assim o problema do conectividade social...
a regra que user segue:

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp -i eth2 --dport 443 -d 0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p udp -i eth2 -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128

Ferramentas

Mover Tópico