The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"squid+SSL+HTTPS+iptables+transparent"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Прозрачный proxy)
Изначальное сообщение [ Отслеживать ]

"squid+SSL+HTTPS+iptables+transparent"  +/
Сообщение от Drivekoenig (ok) on 16-Дек-08, 10:38 
Доброго времени суток!

Итак что мы имеем
1. RedHat Enterprise 5
2. Squid build 2.6 STABLE
3. Iptables v1.3.5

Желаемый результат
Прозрачное проксирование "Сквидом" не только 80 порта, но и 443.

В файере для заворота пользавков использую
iptables -t nat -A PREROUTING -s 192.168.x.x -p tcp -d 0.0.0.0/0 --dport 80 -j REDIRECT --to-ports 3128


В самом squid`e
http_port 3128 transparent
https_port 3128 transparent key=/etc/squid/key.pm cert=/etc/squid/certificate.pm

и далее набор стандартных правил

Ключ создавался без использования шифрования а именно:
openssl genrsa -out key.pem
openssl req -new -key key.pem -out certificate.pem


Так вот если я заворачиваю при помощи iptables 443 порт в squid, то это не работает (iptables -t nat -A PREROUTING -s 192.168.x.x -p tcp -d 0.0.0.0/0 --dport 443 -j REDIRECT --to-ports 3128)


Вопрос: Как же его собственно в squid завернуть, может кто знает?

P.S> При условии выставления в IE прокси вручную, то все работает...))))

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "squid+SSL+HTTPS+iptables+transparent"  +/
Сообщение от Maximus email(??) on 16-Дек-08, 12:29 
Доброго времени суток!
На сколько мне известно не будет это работать, как вариант ssl не заворачивать.

Кстати, вообще работает прозрачное проксирование?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "squid+SSL+HTTPS+iptables+transparent"  +1 +/
Сообщение от Drivekoenig (ok) on 16-Дек-08, 14:29 
>Доброго времени суток!
>На сколько мне известно не будет это работать, как вариант ssl не
>заворачивать.
>
>Кстати, вообще работает прозрачное проксирование?

Конечно же работает, но только 80 порт, а надо 443 хотя бы завернуть.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "squid+HTTPS+transparent"  +/
Сообщение от Andrey Mitrofanov on 16-Дек-08, 14:44 
>Конечно же работает, но только 80 порт, а надо 443 хотя бы завернуть.

Нет, не надо: google.ru
прозрачный squid https site:opennet.ru/openforum/
ENTER

Прозрачный http-прокси -- сраааашный костыль. Страшен он тем, что _другие_ кстыли(?) (ftp через http прокси, SSL/https через метод CONNECT http прокси, авторизация пользователей на прокси, ... что ещё?...) в сквиде с ним напрочь не работают, как бы этого не хотелось просветлённейшим представителям мировой общественности.

Вариант - поискать [другой, не сквид] прозрачный прокси, заворачивающий /предваряющий tcp-соединения запросами "CONNECT ... HTTP/..." - на вход _не_прозрачного сквида... Такая акробатика нужна кому-нибудь?... Даже ради строчки в логе и "удобства" сбора статистики.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "squid+HTTPS+transparent"  +/
Сообщение от Drivekoenig (ok) on 16-Дек-08, 14:48 
>[оверквотинг удален]
>ENTER
>
>Прозрачный http-прокси -- сраааашный костыль. Страшен он тем, что _другие_ кстыли(?) (ftp
>через http прокси, SSL/https через метод CONNECT http прокси, авторизация пользователей
>на прокси, ... что ещё?...) в сквиде с ним напрочь не
>работают, как бы этого не хотелось просветлённейшим представителям мировой общественности.
>
>Вариант - поискать [другой, не сквид] прозрачный прокси, заворачивающий /предваряющий tcp-соединения запросами
>"CONNECT ... HTTP/..." - на вход _не_прозрачного сквида... Такая акробатика нужна
>кому-нибудь?... Даже ради строчки в логе и "удобства" сбора статистики.

Нужно не ради строчки в логе, а ради контроля.... например "продвинутые пользователи" используют вот такой вот адрес - https://ctunnel.com
И всвязи с этим юзают интернет как угодно...А мне этого нельзя допускать, но в тоже-самое время 443 нужен....((((

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "squid+HTTPS -transparent"  +/
Сообщение от Andrey Mitrofanov on 16-Дек-08, 14:57 
>Нужно не ради строчки в логе, а ради контроля.... например "продвинутые пользователи"
>используют вот такой вот адрес - https://ctunnel.com

acl CONNECT method CONNECT
acl niiizya url_regex ^ctunnel\.com$
acl niiizya2 dst .....
http_access deny CONNECT niiizya
http_access deny CONNECT niiizya2

и т.д. На _не_прозрачном сквиде...
+Плюс обычный рассказ про броню / снаряд.

>И всвязи с этим юзают интернет как угодно...А мне этого нельзя допускать, но в тоже-самое время 443 нужен....((((

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "squid+HTTPS -transparent"  +/
Сообщение от Maximus email(??) on 16-Дек-08, 16:38 
да кстати, а
iptables --list
/etc/init.d/iptables status
вывод этих команд какой?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "squid+HTTPS -transparent"  +1 +/
Сообщение от Kanisev on 24-Июн-09, 08:02 
Для Drivekoenig

Вам удалось решить проблему со сквидом и 443 портом? Поделитесь, если решили.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "squid+HTTPS -transparent"  +/
Сообщение от yourik email on 13-Июл-09, 11:09 
>Для Drivekoenig
>
>Вам удалось решить проблему со сквидом и 443 портом? Поделитесь, если решили.
>

Схожую проблемму решил так:
IPTABLES -t filter -A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
тобишь просто минуя squid - иначе никак ! (с прозрачным прокси не работает)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "squid+HTTPS -transparent"  +/
Сообщение от Dmitry (??) on 14-Сен-09, 14:28 
>>Для Drivekoenig
>>
>>Вам удалось решить проблему со сквидом и 443 портом? Поделитесь, если решили.
>>
>
>Схожую проблемму решил так:
>IPTABLES -t filter -A FORWARD -p tcp -m tcp --dport 443 -j
>ACCEPT
>тобишь просто минуя squid - иначе никак ! (с прозрачным прокси не
>работает)

та же проблема, но решил пока так:
заставил squid слушать два порта 3128 и 3129. в firewall в prerouting исходящие на порт 80 закручиваю на 3128. в forward tcp закрыл.
получается: народ без настроек proxy идет в инет через squid сам того не зная. А тому, кому надо пускай настраивает проксю на порт 3129 на все порты.

squid.conf:
http_port 10.1.2.2:3128 transparent
http_port 10.1.2.2:3129

Вроде работает :)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "squid+HTTPS -transparent"  +2 +/
Сообщение от retro email(??) on 18-Мрт-11, 09:29 
>[оверквотинг удален]
> та же проблема, но решил пока так:
> заставил squid слушать два порта 3128 и 3129. в firewall в prerouting
> исходящие на порт 80 закручиваю на 3128. в forward tcp закрыл.
> получается: народ без настроек proxy идет в инет через squid сам того
> не зная. А тому, кому надо пускай настраивает проксю на порт
> 3129 на все порты.
> squid.conf:
> http_port 10.1.2.2:3128 transparent
> http_port 10.1.2.2:3129
> Вроде работает :)

Всем привет, уважаемые коллеги. Итак для того что бы РАБОТАЛО надо:
1. Чтобы при проверке версии squid в строке конфигурации обязательно была опция '--enable-ssl' иначе кина небудет, и не мечтайте.

2. Если версия >= libssl0.9.6  При создании сертификатов и ключей оперироваться командами для создания ключей:
openssl genrsa -out /etc/squid/ssl/squid.key
openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem

3. Конфигурация squid согласно портов должна иметь такой вид:
http_port 192.168.0.254:3128 transparent                                                          
https_port 192.168.0.254:3129 transparent key=/etc/squid/ssl/squid.key cert=/etc/squid/ssl/squid.pem

4. iptables nat правила:
-A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 443 -j REDIRECT --to-ports 3129

* Проверено на Ubuntu 10.04 LTS
* Работает даже на одном порту
* Спасибо за статью - вдохновляет.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "squid+HTTPS -transparent"  +/
Сообщение от chi email on 26-Май-11, 13:21 
>[оверквотинг удален]
> http_port 192.168.0.254:3128 transparent
> https_port 192.168.0.254:3129 transparent key=/etc/squid/ssl/squid.key cert=/etc/squid/ssl/squid.pem
> 4. iptables nat правила:
> -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535
> --dport 80 -j REDIRECT --to-ports 3128
> -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535
> --dport 443 -j REDIRECT --to-ports 3129
> * Проверено на Ubuntu 10.04 LTS
> * Работает даже на одном порту
> * Спасибо за статью - вдохновляет.

Сделал все примерно так, только у меня связка FreeBSD7.3+PF+SQUID

В PF:
        rdr on $vlan10if inet proto tcp from 192.168.0.28 to any port { www } -> 127.0.0.1 port 3128
        rdr on $vlan10if inet proto tcp from 192.168.0.28 to any port { https } -> 127.0.0.1 port 3129

В SQUID:
        http_port 127.0.0.1:3128 transparent
        https_port 127.0.0.1:3129 transparent cert=/usr/local/etc/squid/squid.pem key=/usr/local/etc/squid/squid.key

подставляет для соединения с сайтом указанный сертификат, и говорит что не может установить соединение с сервером.

что не так? у кто еще пробовал?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "squid+HTTPS -transparent"  +/
Сообщение от Akim.chik email on 09-Сен-11, 16:15 
>[оверквотинг удален]
>         rdr on $vlan10if inet
> proto tcp from 192.168.0.28 to any port { https } ->
> 127.0.0.1 port 3129
> В SQUID:
>         http_port 127.0.0.1:3128 transparent
>         https_port 127.0.0.1:3129 transparent cert=/usr/local/etc/squid/squid.pem
> key=/usr/local/etc/squid/squid.key
> подставляет для соединения с сайтом указанный сертификат, и говорит что не может
> установить соединение с сервером.
> что не так? у кто еще пробовал?

наверняка нетак:
во-первых нужно глянуть syslog и messages типа grep -i squid /var/log/FOO
во-вторых покажите squid -v |grep ssl
по результатам ответа буду помогать дальше.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "squid+HTTPS -transparent"  +/
Сообщение от IgorMan2 email(??) on 20-Окт-11, 11:19 
>[оверквотинг удален]
>>         http_port 127.0.0.1:3128 transparent
>>         https_port 127.0.0.1:3129 transparent cert=/usr/local/etc/squid/squid.pem
>> key=/usr/local/etc/squid/squid.key
>> подставляет для соединения с сайтом указанный сертификат, и говорит что не может
>> установить соединение с сервером.
>> что не так? у кто еще пробовал?
> наверняка нетак:
> во-первых нужно глянуть syslog и messages типа grep -i squid /var/log/FOO
> во-вторых покажите squid -v |grep ssl
> по результатам ответа буду помогать дальше.

unix# squid -v | grep ssl
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--disable-ipv6' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-pf-transparent' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd9.0' 'build_alias=i386-portbld-freebsd9.0' 'CC=cc' 'CFLAGS=-O2 -pipe  -I/usr/include -fno-strict-aliasing' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.15 --enable-ltdl-convenience

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "squid+HTTPS -transparent"  +/
Сообщение от itrabotnik email on 14-Сен-11, 13:57 
>[оверквотинг удален]
>         rdr on $vlan10if inet
> proto tcp from 192.168.0.28 to any port { https } ->
> 127.0.0.1 port 3129
> В SQUID:
>         http_port 127.0.0.1:3128 transparent
>         https_port 127.0.0.1:3129 transparent cert=/usr/local/etc/squid/squid.pem
> key=/usr/local/etc/squid/squid.key
> подставляет для соединения с сайтом указанный сертификат, и говорит что не может
> установить соединение с сервером.
> что не так? у кто еще пробовал?

Получилось завести?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "squid+HTTPS -transparent"  +/
Сообщение от Cristian (ok) on 20-Окт-11, 13:03 
Доброе время суток всем!
Прочел данный пост, и мне стало тоже интересно сделать transparent-proxy, для HTTPS-SSL.
Ранее успешно реализовывал без особого усилия transparent HTTP и всегда хотел реализовать для HTTPS.
В общем я сделал все, по выше описанным рекомендациям, и у меня получилось без боков запустить squid.

http_port 192.168.0.254:3128 transparent
https_port 192.168.0.254:3129 transparent key=/usr/local/etc/squid/ssl/squid.key cert=/usr/local/etc/squid/ssl/squid.pem

rdr em1 0.0.0.0/0 port 80 -> 192.168.0.254 port 3128 tcp
rdr em1 0.0.0.0/0 port 443 -> 192.168.0.254 port 3129 tcp

Короче говоря, все запустилось и на первый взгляд заработало. HTTP transparent так точно. Но вот когда захожу на ресурс HTTPS - например gmail.com, с начала выбивает табличка о принятии сертификата, который я принимаю и после этого выбивает такая ошибка:

=============================================================
ОШИБКА
Запрошенный URL не может быть доставлен.

Во время доставки URL: https://www.google.com/accounts/ServiceLogin?

Произошла следующая ошибка:

    Не удалось установить соединение.

Был получен ответ:

    (92) Protocol error

Удалённый сервер либо сеть не отвечают. Пожалуйста, повторите запрос.

Generated Thu, 20 Oct 2011 09:02:00 GMT by Proxy (squid)
=============================================================

Подскажите, направление куда взглянуть и где искать проблему?
И реально ли вообще transparent-proxy для HTTPS, есть ли работающий пример?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "squid+HTTPS -transparent"  +/
Сообщение от Cristian (ok) on 26-Окт-11, 17:38 
>[оверквотинг удален]
> Во время доставки URL: https://www.google.com/accounts/ServiceLogin?
> Произошла следующая ошибка:
>     Не удалось установить соединение.
> Был получен ответ:
>     (92) Protocol error
> Удалённый сервер либо сеть не отвечают. Пожалуйста, повторите запрос.
> Generated Thu, 20 Oct 2011 09:02:00 GMT by Proxy (squid)
> =============================================================
> Подскажите, направление куда взглянуть и где искать проблему?
> И реально ли вообще transparent-proxy для HTTPS, есть ли работающий пример?

Спасибо за помощь, разобрался сам.
необходимо в конфиге добавить єто:
===============================
sslproxy_flags DONT_VERIFY_PEER
===============================
после чего все работает.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "squid+HTTPS -transparent"  +/
Сообщение от жора on 26-Окт-11, 22:54 
>[оверквотинг удален]
>> Generated Thu, 20 Oct 2011 09:02:00 GMT by Proxy (squid)
>> =============================================================
>> Подскажите, направление куда взглянуть и где искать проблему?
>> И реально ли вообще transparent-proxy для HTTPS, есть ли работающий пример?
> Спасибо за помощь, разобрался сам.
> необходимо в конфиге добавить єто:
> ===============================
> sslproxy_flags DONT_VERIFY_PEER
> ===============================
> после чего все работает.

Насколько я понял из приведенной конфигурации, сквид расшифровывает запросы, подсовывая клиенту свой сертификат, т.е. реализут классическую MitM атаку. Костыль хороший, но теряется почти весь смысл ssl. Или я что-то упустил.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "squid+HTTPS -transparent"  +/
Сообщение от Cristian (ok) on 27-Окт-11, 01:39 
>[оверквотинг удален]
>>> И реально ли вообще transparent-proxy для HTTPS, есть ли работающий пример?
>> Спасибо за помощь, разобрался сам.
>> необходимо в конфиге добавить єто:
>> ===============================
>> sslproxy_flags DONT_VERIFY_PEER
>> ===============================
>> после чего все работает.
> Насколько я понял из приведенной конфигурации, сквид расшифровывает запросы, подсовывая
> клиенту свой сертификат, т.е. реализут классическую MitM атаку. Костыль хороший, но
> теряется почти весь смысл ssl. Или я что-то упустил.

Каждый преследуют свою цель, применяя данный прием.
Все зависит од того, какую цель преследуете вы!
Возможно вам необходимо контролировать метод CONNECT, не пропуская ни чего кроме SSL.
Или возможно Вам необходимо проверять антивирусом контент внутри SSL, добавление ICAP, это позволяет.
Для анализа и контроля трафика внутри SSL соединения, так же ICAP в помощь.
Перехват и анализ POST внутри SSL, или модификация запросов, и т.д.
Все варианты применения данного приема, писать не буду...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "squid+HTTPS -transparent"  +/
Сообщение от Жора (??) on 27-Окт-11, 09:50 

> Каждый преследуют свою цель, применяя данный прием.
> Все зависит од того, какую цель преследуете вы!
> Возможно вам необходимо контролировать метод CONNECT, не пропуская ни чего кроме SSL.
> Или возможно Вам необходимо проверять антивирусом контент внутри SSL, добавление ICAP,
> это позволяет.
> Для анализа и контроля трафика внутри SSL соединения, так же ICAP в
> помощь.
> Перехват и анализ POST внутри SSL, или модификация запросов, и т.д.
> Все варианты применения данного приема, писать не буду...

Понял. Спасибо за разъяснение.

Не мешало бы клиентам в браузер мигающую надпись вывести "Внимание, Вас прослушивают" :)))

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "squid+HTTPS -transparent"  +/
Сообщение от chestr email on 16-Ноя-11, 02:35 
>[оверквотинг удален]
>> Generated Thu, 20 Oct 2011 09:02:00 GMT by Proxy (squid)
>> =============================================================
>> Подскажите, направление куда взглянуть и где искать проблему?
>> И реально ли вообще transparent-proxy для HTTPS, есть ли работающий пример?
> Спасибо за помощь, разобрался сам.
> необходимо в конфиге добавить єто:
> ===============================
> sslproxy_flags DONT_VERIFY_PEER
> ===============================
> после чего все работает.

мучаюсь с кальмаром уже месяц( нифига не получается заставить его работать прозрачно с ссл, ключи генерил, iptables настраивал, sslproxy_flags DONT_VERIFY_PEER добавлял, а в ответ с сервера с хттпс страницей получаю 302 found ((
дистр арч
сквид 3.1.14, собран с флагом --enable-ssl
openssl 1.0.0.e

что я делаю не так? помогите пожалуйста, а то пиво уже не помогает...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "squid+HTTPS -transparent"  +/
Сообщение от Aksel email on 19-Ноя-11, 13:01 
>[оверквотинг удален]
>> после чего все работает.
> мучаюсь с кальмаром уже месяц( нифига не получается заставить его работать прозрачно
> с ссл, ключи генерил, iptables настраивал, sslproxy_flags DONT_VERIFY_PEER добавлял,
> а в ответ с сервера с хттпс страницей получаю 302 found
> ((
> дистр арч
> сквид 3.1.14, собран с флагом --enable-ssl
> openssl 1.0.0.e
> что я делаю не так? помогите пожалуйста, а то пиво уже не
> помогает...

Прочитав статью у меня вроди все запахало...
Но теперь в браузере постоянно выскакивают запросы на прием сертификата... причем тыкнув на ссылку мне сразу выскакивает несколько запросов на прием нескольких сертов... после того как все приму, (штуки 3) я могу ходить по сайту и ничего не выскакивает...
Как бы это отключить?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "squid+HTTPS -transparent"  +/
Сообщение от LKRM (ok) on 01-Мрт-12, 16:31 
Доброго времени суток всем!
Похожая ситуация, но немного сложнее:
Есть сервер с тремя сетевыми картами,на нём squid прозрачный и iptables.
eth0 смотрит в локалку
eth1 в быстрый инет
eth2 в медленный инет, но с белыми адресами
Необходимо, чтобы компы с адресами хх.хх.хх.хх попадали через этот сервер в инет напрямую через eth2, минуя squid, не натясь айпишником сервера, а своими реальным адресами.
Остальные компы должны ходить в инет через squid, через eth1.

листинг iptables следующий:
iptables --list-rules
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2049 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 66.6.6.0/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth+ -j ACCEPT
-A FORWARD -o eth+ -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -s xx.xx.xx.xx -j ACCEPT
[root@inetguard ~]#

Однако это не работает, юзеры с айпи xx.xx.xx.xx не идут через eth0, а идут через прокси, если обращаться например по 80 порту на сервак. По другим портам (не указанным в iptables всё ок, идут напрямую).

Подскажите куда копать?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "squid+HTTPS -transparent"  +/
Сообщение от samson (??) on 06-Мрт-12, 17:07 
Копай в сторону tcp_outgoing_address (айпишник провайдера) (ACL со списком клиентов)

>[оверквотинг удален]
> -A FORWARD -i eth+ -j ACCEPT
> -A FORWARD -o eth+ -j ACCEPT
> -A FORWARD -j REJECT --reject-with icmp-host-prohibited
> -A FORWARD -s xx.xx.xx.xx -j ACCEPT
> [root@inetguard ~]#
> Однако это не работает, юзеры с айпи xx.xx.xx.xx не идут через eth0,
> а идут через прокси, если обращаться например по 80 порту на
> сервак. По другим портам (не указанным в iptables всё ок, идут
> напрямую).
> Подскажите куда копать?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "squid+HTTPS -transparent"  +/
Сообщение от ice (??) on 18-Июн-12, 15:25 
1е на что идёт ругань конфига "https_port 192.168.0.254:3129 transparent"
WARNING: transparent proxying not supported

quid -v
Squid Cache: Version 3.1.19
...configure options:  '--enable-ssl' '--with-openssl=/usr/local' '--enable-ssl-crtd'...

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "squid+HTTPS -transparent"  +/
Сообщение от Prince (??) on 16-Июл-12, 16:04 
> 1е на что идёт ругань конфига "https_port 192.168.0.254:3129 transparent"
> WARNING: transparent proxying not supported
> quid -v
> Squid Cache: Version 3.1.19
> ...configure options:  '--enable-ssl' '--with-openssl=/usr/local' '--enable-ssl-crtd'...

а где:
--enable-linux-netfilter
                        Enable Transparent Proxy support for Linux        
                        (Netfilter)
--enable-linux-tproxy   Enable real Transparent Proxy support for Netfilter
                        TPROXY (version 2).

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "squid+HTTPS -transparent"  +/
Сообщение от peering email(ok) on 02-Авг-12, 15:43 
>[оверквотинг удален]
>            
>            
>  Enable Transparent Proxy support for Linux
>            
>            
>  (Netfilter)
> --enable-linux-tproxy   Enable real Transparent Proxy support for Netfilter
>            
>            
>  TPROXY (version 2).

Народ как пересобрать  squid 3  на debian6 c флагом  --enable-ssl,, не могу осилить данную инструкцию: на шаге  
6 - ./configure
7 - debuild -us -uc -b

Пересобрался дистрибутив

dpkg-source --after-build squid3-3.1.6
dpkg-buildpackage: закачка только двоичных пакетов (без пакетов исходного кода)
Now running lintian...
warning: lintian's authors do not recommend running it with root privileges!
E: squid3: possible-gpl-code-linked-with-openssl
Finished running lintian.


На сквида так и нет !!!! Что нужно ёщё сделать !!!!

download squid sources:

apt-get source squid

download squid build dependencies:

apt-get build-dep squid

download sources for openssh:

apt-get build-dep openssh

download sources for openssl:

apt-get build-dep openssl

download and install necessary stuff for build process:

apt-get install devscripts build-essential fakeroot

change directory:

cd squid-<version>

edit the build rules and add the –enable-ssl option to the configure section:

vim debian/rules

configure the new options (don’t do a make or make install !!!) :

./configure

compile and build package:

debuild -us -uc -b


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "squid+HTTPS -transparent"  +/
Сообщение от Аноним (??) on 25-Окт-12, 10:21 
> На сквида так и нет !!!! Что нужно ёщё сделать !!!!

Здесь подробно написано - все собралось без проблем.
http://www.d90.us/toolbox/2009/05/26/adding-ssl-support-to-s.../

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "squid+HTTPS -transparent"  +/
Сообщение от bamper (ok) on 05-Дек-12, 15:54 
>[оверквотинг удален]
> та же проблема, но решил пока так:
> заставил squid слушать два порта 3128 и 3129. в firewall в prerouting
> исходящие на порт 80 закручиваю на 3128. в forward tcp закрыл.
> получается: народ без настроек proxy идет в инет через squid сам того
> не зная. А тому, кому надо пускай настраивает проксю на порт
> 3129 на все порты.
> squid.conf:
> http_port 10.1.2.2:3128 transparent
> http_port 10.1.2.2:3129
> Вроде работает :)

Всем привет, уважаемые коллеги. Итак для того что бы РАБОТАЛО надо:
1. Чтобы при проверке версии squid в строке конфигурации обязательно была опция '--enable-ssl' иначе кина небудет, и не мечтайте.

2. Если версия >= libssl0.9.6  При создании сертификатов и ключей оперироваться командами для создания ключей:
openssl genrsa -out /etc/squid/ssl/squid.key
openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr
openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.pem

3. Конфигурация squid согласно портов должна иметь такой вид:
http_port 192.168.0.254:3128 transparent                                                          
https_port 192.168.0.254:3129 transparent key=/etc/squid/ssl/squid.key cert=/etc/squid/ssl/squid.pem

4. iptables nat правила:
-A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 443 -j REDIRECT --to-ports 3129

* Проверено на Ubuntu 10.04 LTS
* Работает даже на одном порту
* Спасибо за статью - вдохновляет.

Объясните пожалуйста, какие параметры нужно указывать при создании сертификата. Ни в какую не получается пробиться к сайтам https. Трафик заварчивается, выскакивают предупреждения о сертификации и всё - дальше не пускеат!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

29. "squid+HTTPS -transparent"  +/
Сообщение от Ruldik email(ok) on 29-Янв-13, 13:53 
>[оверквотинг удален]
> -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535
> --dport 80 -j REDIRECT --to-ports 3128
> -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535
> --dport 443 -j REDIRECT --to-ports 3129
> * Проверено на Ubuntu 10.04 LTS
> * Работает даже на одном порту
> * Спасибо за статью - вдохновляет.
> Объясните пожалуйста, какие параметры нужно указывать при создании сертификата. Ни в какую
> не получается пробиться к сайтам https. Трафик заварчивается, выскакивают предупреждения
> о сертификации и всё - дальше не пускеат!

Поддерживаю, такая же песня. Народ удалось решить проблему?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру