- Safe_ports и SSL_ports,
 Mr. Mistoffelees, 18:48 , 24-Апр-13 (1)Привет,Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через прокси. Чаще всего это HTTP порты. SSL_ports - это только те порты, которые участвуют в SSL соединении. Эти ACL могут перекрывать друг друга и в этом ничего плохого нет. WWell,
- Safe_ports и SSL_ports, dima, 20:16 , 24-Апр-13 (2)
нету разницы, можно назвать как угодно например
KGB_soset
- Safe_ports и SSL_ports, nkly, 08:45 , 25-Апр-13 (3)
> Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через
> прокси. Чаще всего это HTTP порты.
> SSL_ports - это только те порты, которые участвуют в SSL соединении.
> Эти ACL могут перекрывать друг друга и в этом ничего плохого нет. Приведу конкретный пример.
Нужно на компьютере в локальной сети обеспечить работу через прокси в системе "Сбербанк Бизнес ОнЛ@йн"
Звоню в техподдержку и спрашиваю, что для этого нужно и девушка вежливо отвечает мне дословно следующее:
"Нужно открыть на прокси порт 9443"
Другой информации она не дает.
Моя конфигурация squid выглядит так:
----------------
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
----------------
В какой из acl нужно добавить этот порт? И самое главное - почему?
- Safe_ports и SSL_ports, Andrey Mitrofanov, 09:41 , 25-Апр-13 (4)
> "Сбербанк Бизнес ОнЛ@йн"
> и девушка вежливо отвечает мне дословно следующее:
> "Нужно открыть на прокси порт 9443" По моему опыту общения с "клиентом банка" (не этим), > Другой информации она не дает.
> Моя конфигурация squid выглядит так: на самом деле нужно открыть порт в NAT&firewall и не вспоминать про сквид. Ну, можешь, конечно, поискать настройку "HTTP прокси" в своём бизнес-онлайне.
- Safe_ports и SSL_ports, nkly, 11:37 , 25-Апр-13 (5)
> на самом деле нужно открыть порт в NAT&firewall и не вспоминать про
> сквид.Я сначала тоже так подумал. Но нет. Возможно, конечно, что и NAT&firewall нужно править, но мне этого не потребовалось.
После добавления порта в SSL_ports у меня все заработало.
В Safe_ports у меня также изначально присутствовала строка:
acl Safe_ports port 1025-65535 # unregistered ports
То есть порт входит и в Safe_ports однако только с ней не работало. Вот мне и не понятно по какому принципу добавляются порты в тот или иной acl, а может для открытия порта нужно добавлять его в оба acl.
Моя конфигурация squid
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
говорит о том, что запретить доступ по http по всем портам кроме Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT по всем портам кроме SSL_ports
Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами, а с помощью первой строки мы просто разрешаем использование портов. Так зачем нужна вторая строка, если первой мы можем открыть доступ к портам, в том числе и тем что указаны в SSL_ports
Однако именно эти две строки присутствуют во всех найденных мной в интернете конфигурациях.
Если этих строк две, значит есть какая-то разница. Какая?
- Safe_ports и SSL_ports, gg, 16:54 , 27-Апр-13 (6)
>[оверквотинг удален]
> говорит о том, что запретить доступ по http по всем портам кроме
> Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT
> по всем портам кроме SSL_ports
> Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами,
> а с помощью первой строки мы просто разрешаем использование портов. Так
> зачем нужна вторая строка, если первой мы можем открыть доступ к
> портам, в том числе и тем что указаны в SSL_ports
> Однако именно эти две строки присутствуют во всех найденных мной в интернете
> конфигурациях.
> Если этих строк две, значит есть какая-то разница. Какая?Вы сами и ответили.
К вашему сбрф скуид подключается методом коннект.
В том, что не проходит обычное хттп проксирование, нет ничего удивительного.
(или в документации сб-клиент сказано, что он
может работать через хттп прокси, и есть окошко, где этот прокси прописывается?)
- Safe_ports и SSL_ports, SHRDLU, 13:21 , 01-Май-13 (7)
> (или в документации сб-клиент сказано, что он
> может работать через хттп прокси, и есть окошко, где этот прокси прописывается?) Не возьму в толк, о чем вы.
В глаза не видел документации к этому чуду, но у меня на работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси никаких проблем не возникает...
Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я не слышал - разве что достаточно давно у нас стояло что-то vpn'оподобное от них, но оно уже года 2 как умерло - в нашем болотце, по крайней мере...
- Safe_ports и SSL_ports, gg, 17:25 , 01-Май-13 (8)
>> (или в документации сб-клиент сказано, что он
>> может работать через хттп прокси, и есть окошко, где этот прокси прописывается?)
> Не возьму в толк, о чем вы.
> В глаза не видел документации к этому чуду, но у меня на
> работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси
> никаких проблем не возникает...
> Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я
> не слышал - разве что достаточно давно у нас стояло что-то
> vpn'оподобное от них, но оно уже года 2 как умерло -
> в нашем болотце, по крайней мере...У топикстартера, как я понял, был вопрос, почему именно CONNECT (а не GET, POST...).
Я хотел сказать, что если подобная программа вообще может работать через http прокси,
то это почти наверняка туннель через CONNECT.
|
Версия для распечатки
Safe_ports и SSL_ports, 
