The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"HTTPS через SQUID"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Squid)
Изначальное сообщение [ Отслеживать ]

"HTTPS через SQUID"  +2 +/
Сообщение от Ruldik email(ok) on 04-Фев-13, 11:52 
Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
сейчас настроена так: в политиках домена прописал проксю, в iptables прописано
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128
HTTP запросы проходят нормально и фильтруются, а вот HTTPS не хочет, при этом access.log отображаются https-запросы. Если в самом браузере прописать проксю, то https робит.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "HTTPS через SQUID"  +/
Сообщение от ipmanyak (ok) on 04-Фев-13, 12:14 
> Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
> Если в самом браузере прописать проксю, то https робит.

Вы хотели не через прозрачный прокси и не через прозрачный прокси у вас работает, что еще надо? Вопрос ни к месту.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "HTTPS через SQUID"  +/
Сообщение от Ruldik email(ok) on 04-Фев-13, 12:17 
>> Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
>> Если в самом браузере прописать проксю, то https робит.
> Вы хотели не через прозрачный прокси и не через прозрачный прокси у
> вас работает, что еще надо? Вопрос ни к месту.

Как сделать без указания прокси в браузере?


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "HTTPS через SQUID"  +/
Сообщение от PavelR (ok) on 04-Фев-13, 13:42 
>>> Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
>>> Если в самом браузере прописать проксю, то https робит.
>> Вы хотели не через прозрачный прокси и не через прозрачный прокси у
>> вас работает, что еще надо? Вопрос ни к месту.
> Как сделать без указания прокси в браузере?

1) Идти и читать документацию. Шансов на то, что Вы прочитаешь и осознаешь то, что кто-то будет стараться разжевать, практически нет. Я лично уже считаю это бесполезным трудом.

2) Если лениво читать документацию - почитай форум, вопрос типовой.

3) Попробуйте научиться читать хотя бы то, что пишете сами.  Цитирую:

Первое:

>Подскажите как можно запустить https через прокси (не прозрачный)

сами явно пишете - "хочу непрозрачный прокси"

Второе:

> Как сделать без указания прокси в браузере?

Теперь пишете - "Как сделать без указания прокси в браузере" - т.е уже хотите прозрачный.

Вы желаете, чтобы вам оказали уникальную услугу - угадать, чего же вы хотите? Это дорого стоит, готовы оплатить?

4) Если лениво читать вообще, тогда ССЗБ.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "HTTPS через SQUID"  +/
Сообщение от Ruldik email(ok) on 06-Фев-13, 12:28 
>[оверквотинг удален]
> Первое:
>>Подскажите как можно запустить https через прокси (не прозрачный)
> сами явно пишете - "хочу непрозрачный прокси"
> Второе:
>> Как сделать без указания прокси в браузере?
> Теперь пишете - "Как сделать без указания прокси в браузере" - т.е
> уже хотите прозрачный.
> Вы желаете, чтобы вам оказали уникальную услугу - угадать, чего же вы
> хотите? Это дорого стоит, готовы оплатить?
> 4) Если лениво читать вообще, тогда ССЗБ.

Сбросил полностью iptables, указал проксю в браузере, а так же "Использовать этот прокси-сервер для всех протоколов". HTTP фильтруется, а HTTPS не хочет, часть access.log


1360133709.895 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133712.829 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.011 2 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.740 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133830.504 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133831.304 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.137 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.939 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133833.798 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360134028.512 2 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html
1360134034.028 1 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "HTTPS через SQUID"  +/
Сообщение от PavelR (ok) on 07-Фев-13, 08:46 
>[оверквотинг удален]
>> Второе:
>>> Как сделать без указания прокси в браузере?
>> Теперь пишете - "Как сделать без указания прокси в браузере" - т.е
>> уже хотите прозрачный.
>> Вы желаете, чтобы вам оказали уникальную услугу - угадать, чего же вы
>> хотите? Это дорого стоит, готовы оплатить?
>> 4) Если лениво читать вообще, тогда ССЗБ.
> Сбросил полностью iptables, указал проксю в браузере, а так же "Использовать этот
> прокси-сервер для всех протоколов". HTTP фильтруется, а HTTPS не хочет, часть
> access.log

Па-моему вполне себе фильтруется как раз HTTPS, в логе видно 404, значит он зафильтровался.
А вот HTTP в логе видно 200, значит он не фильтруется.

Я так вижу, что вы всё еще не понимаете чего хотите?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "HTTPS через SQUID"  +/
Сообщение от Ruldik email(ok) on 07-Фев-13, 09:31 
> Па-моему вполне себе фильтруется как раз HTTPS, в логе видно 404, значит
> он зафильтровался.
> А вот HTTP в логе видно 200, значит он не фильтруется.

Указал проксю в браузере, а так же "Использовать этот прокси-сервер для всех протоколов". HTTP происходит директ на страницу блокировки, а HTTPS не хочет. В Chrome выдает (Ошибка 111 (net::ERR_TUNNEL_CONNECTION_FAILED): Неизвестная ошибка.)
конфиг squid.conf

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 30
redirector_bypass on

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src 192.168.2.0/24 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 192.168.2.21:3128
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 1024 16 256
coredump_dir /var/spool/squid
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
visible_hostname Area-51
cache_effective_user nobody
cache_effective_group nobody
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "HTTPS через SQUID"  +/
Сообщение от Ruldik email(ok) on 07-Фев-13, 12:04 
Прошу прощения, действительно HTTPS заруливает на Squid и фильтруется!!!

1360224901.512 174996 192.168.2.111 TCP_MISS/200 15932 CONNECT www.google.ru:443 - DIRECT/173.194.71.94 -

Вот только, если я указываю на запрет например vk.com, не происходит DIRECT на страницу запрета!!!

1360224744.750 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -

Подмогните с данной проблемой!!!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "HTTPS через SQUID"  +/
Сообщение от Ustinove email(ok) on 29-Ноя-16, 00:13 
> Прошу прощения, действительно HTTPS заруливает на Squid и фильтруется!!!
> 1360224901.512 174996 192.168.2.111 TCP_MISS/200 15932 CONNECT www.google.ru:443 - DIRECT/173.194.71.94
> -
> Вот только, если я указываю на запрет например vk.com, не происходит DIRECT
> на страницу запрета!!!
> 1360224744.750 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
> Подмогните с данной проблемой!!!

о я на такое наступал фильтровать надо по такому выражению vk.com:443 а не по vk.com

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "HTTPS через SQUID"  +/
Сообщение от techbird (ok) on 21-Май-17, 02:27 
> Прошу прощения, действительно HTTPS заруливает на Squid и фильтруется!!!
> 1360224901.512 174996 192.168.2.111 TCP_MISS/200 15932 CONNECT www.google.ru:443 - DIRECT/173.194.71.94
> -
> Вот только, если я указываю на запрет например vk.com, не происходит DIRECT
> на страницу запрета!!!
> 1360224744.750 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
> Подмогните с данной проблемой!!!

https соединение не даст тебе возможности применять свои правила, т.к. не происходит дешифровка данных, если есть необходимость в блокировке то нужно читать SNI сертификата а для этого нужно читать офф.док или как выше говорили форумы  https://goo.gl/IjV9yg
http://bfy.tw/BuVS

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor