https://www.opennet.me/openforum/vsluhforumID12/6984.html Вопрос скорее теоретический. Просто хочу понять разницу.<br>Во многих статьях и примерах по настройке squid применяются такие acl как Safe_ports и SSL_ports. Используются они и у меня. А вот в чем разница между ними?<br>Какие порты можно отнести к Safe_ports (в переводе с английского - безопасные), а какие к SSL_ports?<br>Некоторые порты могут содержаться в обоих acl одновременно?<br> https://www.opennet.me/openforum/vsluhforumID12/6984.html#8 Wed, 01 May 2013 13:25:42 GMT &gt;&gt; (или в документации сб-клиент сказано, что он <br>&gt;&gt; может работать через хттп прокси, и есть окошко, где этот прокси прописывается?) <br>&gt; Не возьму в толк, о чем вы.<br>&gt; В глаза не видел документации к этому чуду, но у меня на <br>&gt; работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси <br>&gt; никаких проблем не возникает...<br>&gt; Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я <br>&gt; не слышал - разве что достаточно давно у нас стояло что-то <br>&gt; vpn'оподобное от них, но оно уже года 2 как умерло - <br>&gt; в нашем болотце, по крайней мере...<br><br>У топикстартера, как я понял, был вопрос, почему именно CONNECT (а не GET, POST...).<br>Я хотел сказать, что если подобная программа вообще может работать через http прокси,<br>то это почти наверняка туннель через CONNECT.<br><br> https://www.opennet.me/openforum/vsluhforumID12/6984.html#7 Wed, 01 May 2013 09:21:57 GMT &gt; (или в документации сб-клиент сказано, что он <br>&gt; может работать через хттп прокси, и есть окошко, где этот прокси прописывается?) <br><br>Не возьму в толк, о чем вы.<br>В глаза не видел документации к этому чуду, но у меня на работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси никаких проблем не возникает...<br>Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я не слышал - разве что достаточно давно у нас стояло что-то vpn'оподобное от них, но оно уже года 2 как умерло - в нашем болотце, по крайней мере...<br> https://www.opennet.me/openforum/vsluhforumID12/6984.html#6 Sat, 27 Apr 2013 12:54:07 GMT &gt;[оверквотинг удален]<br>&gt; говорит о том, что запретить доступ по http по всем портам кроме <br>&gt; Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT <br>&gt; по всем портам кроме SSL_ports <br>&gt; Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами, <br>&gt; а с помощью первой строки мы просто разрешаем использование портов. Так <br>&gt; зачем нужна вторая строка, если первой мы можем открыть доступ к <br>&gt; портам, в том числе и тем что указаны в SSL_ports <br>&gt; Однако именно эти две строки присутствуют во всех найденных мной в интернете <br>&gt; конфигурациях.<br>&gt; Если этих строк две, значит есть какая-то разница. Какая?<br><br>Вы сами и ответили.<br>К вашему сбрф скуид подключается методом коннект.<br>В том, что не проходит обычное хттп проксирование, нет ничего удивительного.<br> (или в документации сб-клиент сказано, что он<br>может работать через хттп прокси, и есть окошко, где этот прокси прописывается?)<br><br> https://www.opennet.me/openforum/vsluhforumID12/6984.html#5 Thu, 25 Apr 2013 07:37:29 GMT &gt; на самом деле нужно открыть порт в NAT&firewall и не вспоминать про <br>&gt; сквид.<br><br>Я сначала тоже так подумал. Но нет. Возможно, конечно, что и NAT&firewall нужно править, но мне этого не потребовалось.<br>После добавления порта в SSL_ports у меня все заработало.<br>В Safe_ports у меня также изначально присутствовала строка:<br>acl Safe_ports port 1025-65535 # unregistered ports<br>То есть порт входит и в Safe_ports однако только с ней не работало. Вот мне и не понятно по какому принципу добавляются порты в тот или иной acl, а может для открытия порта нужно добавлять его в оба acl.<br>Моя конфигурация squid<br>http_access deny !Safe_ports<br>http_access deny CONNECT !SSL_ports<br>говорит о том, что запретить доступ по http по всем портам кроме Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT по всем портам кроме SSL_ports<br>Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами, а с помощью первой строки мы просто разрешаем использование портов. Так зачем нужна https://www.opennet.me/openforum/vsluhforumID12/6984.html#4 Thu, 25 Apr 2013 05:41:02 GMT &gt; "Сбербанк Бизнес ОнЛ@йн" <br>&gt; и девушка вежливо отвечает мне дословно следующее: <br>&gt; "Нужно открыть на прокси порт 9443" <br><br>По моему опыту общения с "клиентом банка" (не этим),<br><br>&gt; Другой информации она не дает.<br>&gt; Моя конфигурация squid выглядит так: <br><br>на самом деле нужно открыть порт в NAT&firewall и не вспоминать про сквид.<br><br>Ну, можешь, конечно, поискать настройку "HTTP прокси" в своём бизнес-онлайне.<br> https://www.opennet.me/openforum/vsluhforumID12/6984.html#3 Thu, 25 Apr 2013 04:45:43 GMT &gt; Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через <br>&gt; прокси. Чаще всего это HTTP порты.<br>&gt; SSL_ports - это только те порты, которые участвуют в SSL соединении.<br>&gt; Эти ACL могут перекрывать друг друга и в этом ничего плохого нет. <br><br>Приведу конкретный пример.<br>Нужно на компьютере в локальной сети обеспечить работу через прокси в системе "Сбербанк Бизнес ОнЛ@йн"<br>Звоню в техподдержку и спрашиваю, что для этого нужно и девушка вежливо отвечает мне дословно следующее:<br>"Нужно открыть на прокси порт 9443"<br>Другой информации она не дает.<br>Моя конфигурация squid выглядит так:<br>----------------<br>http_access deny !Safe_ports<br>http_access deny CONNECT !SSL_ports<br>----------------<br>В какой из acl нужно добавить этот порт? И самое главное - почему?<br> https://www.opennet.me/openforum/vsluhforumID12/6984.html#2 Wed, 24 Apr 2013 16:16:50 GMT нету разницы, можно назвать как угодно например<br>KGB_soset<br> https://www.opennet.me/openforum/vsluhforumID12/6984.html#1 Wed, 24 Apr 2013 14:48:20 GMT Привет,<br><br>Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через прокси. Чаще всего это HTTP порты. <br><br>SSL_ports - это только те порты, которые участвуют в SSL соединении. <br><br>Эти ACL могут перекрывать друг друга и в этом ничего плохого нет. <br><br>WWell,<br><br><br>