URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6943
[ Назад ]

Исходное сообщение
"HTTPS через SQUID"
Отправлено Ruldik , 04-Фев-13 11:52

Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
сейчас настроена так: в политиках домена прописал проксю, в iptables прописано
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 80,8080,443 -j REDIRECT --to-port 3128
HTTP запросы проходят нормально и фильтруются, а вот HTTPS не хочет, при этом access.log отображаются https-запросы. Если в самом браузере прописать проксю, то https робит.

Содержание

HTTPS через SQUID,ipmanyak, 12:14 , 04-Фев-13
- HTTPS через SQUID,Ruldik, 12:17 , 04-Фев-13
  - HTTPS через SQUID,PavelR, 13:42 , 04-Фев-13
    - HTTPS через SQUID,Ruldik, 12:28 , 06-Фев-13
      - HTTPS через SQUID,PavelR, 08:46 , 07-Фев-13
        
        HTTPS через SQUID,Ruldik, 09:31 , 07-Фев-13
      - HTTPS через SQUID,Ruldik, 12:04 , 07-Фев-13
        
        HTTPS через SQUID,Ustinove, 00:13 , 29-Ноя-16
        HTTPS через SQUID,techbird, 02:27 , 21-Май-17

Сообщения в этом обсуждении

"HTTPS через SQUID"
Отправлено ipmanyak , 04-Фев-13 12:14

> Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
> Если в самом браузере прописать проксю, то https робит.
Вы хотели не через прозрачный прокси и не через прозрачный прокси у вас работает, что еще надо? Вопрос ни к месту.

"HTTPS через SQUID"
Отправлено Ruldik , 04-Фев-13 12:17

>> Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
>> Если в самом браузере прописать проксю, то https робит.
> Вы хотели не через прозрачный прокси и не через прозрачный прокси у
> вас работает, что еще надо? Вопрос ни к месту.
Как сделать без указания прокси в браузере?

"HTTPS через SQUID"
Отправлено PavelR , 04-Фев-13 13:42

>>> Доброго времени суток! Подскажите как можно запустить https через прокси (не прозрачный),
>>> Если в самом браузере прописать проксю, то https робит.
>> Вы хотели не через прозрачный прокси и не через прозрачный прокси у
>> вас работает, что еще надо? Вопрос ни к месту.
> Как сделать без указания прокси в браузере?
1) Идти и читать документацию. Шансов на то, что Вы прочитаешь и осознаешь то, что кто-то будет стараться разжевать, практически нет. Я лично уже считаю это бесполезным трудом.
2) Если лениво читать документацию - почитай форум, вопрос типовой.
3) Попробуйте научиться читать хотя бы то, что пишете сами. Цитирую:
Первое:
>Подскажите как можно запустить https через прокси (не прозрачный)
сами явно пишете - "хочу непрозрачный прокси"
Второе:
> Как сделать без указания прокси в браузере?
Теперь пишете - "Как сделать без указания прокси в браузере" - т.е уже хотите прозрачный.
Вы желаете, чтобы вам оказали уникальную услугу - угадать, чего же вы хотите? Это дорого стоит, готовы оплатить?
4) Если лениво читать вообще, тогда ССЗБ.

"HTTPS через SQUID"
Отправлено Ruldik , 06-Фев-13 12:28

>[оверквотинг удален]
> Первое:
>>Подскажите как можно запустить https через прокси (не прозрачный)
> сами явно пишете - "хочу непрозрачный прокси"
> Второе:
>> Как сделать без указания прокси в браузере?
> Теперь пишете - "Как сделать без указания прокси в браузере" - т.е
> уже хотите прозрачный.
> Вы желаете, чтобы вам оказали уникальную услугу - угадать, чего же вы
> хотите? Это дорого стоит, готовы оплатить?
> 4) Если лениво читать вообще, тогда ССЗБ.
Сбросил полностью iptables, указал проксю в браузере, а так же "Использовать этот прокси-сервер для всех протоколов". HTTP фильтруется, а HTTPS не хочет, часть access.log

1360133709.895 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133712.829 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.011 2 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133829.740 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133830.504 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133831.304 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.137 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133832.939 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360133833.798 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
1360134028.512 2 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html
1360134034.028 1 192.168.2.111 TCP_HIT/200 1148 GET http://www.google.ru/url? - NONE/- text/html

"HTTPS через SQUID"
Отправлено PavelR , 07-Фев-13 08:46

>[оверквотинг удален]
>> Второе:
>>> Как сделать без указания прокси в браузере?
>> Теперь пишете - "Как сделать без указания прокси в браузере" - т.е
>> уже хотите прозрачный.
>> Вы желаете, чтобы вам оказали уникальную услугу - угадать, чего же вы
>> хотите? Это дорого стоит, готовы оплатить?
>> 4) Если лениво читать вообще, тогда ССЗБ.
> Сбросил полностью iptables, указал проксю в браузере, а так же "Использовать этот
> прокси-сервер для всех протоколов". HTTP фильтруется, а HTTPS не хочет, часть
> access.log
Па-моему вполне себе фильтруется как раз HTTPS, в логе видно 404, значит он зафильтровался.
А вот HTTP в логе видно 200, значит он не фильтруется.
Я так вижу, что вы всё еще не понимаете чего хотите?

"HTTPS через SQUID"
Отправлено Ruldik , 07-Фев-13 09:31

> Па-моему вполне себе фильтруется как раз HTTPS, в логе видно 404, значит
> он зафильтровался.
> А вот HTTP в логе видно 200, значит он не фильтруется.
Указал проксю в браузере, а так же "Использовать этот прокси-сервер для всех протоколов". HTTP происходит директ на страницу блокировки, а HTTPS не хочет. В Chrome выдает (Ошибка 111 (net::ERR_TUNNEL_CONNECTION_FAILED): Неизвестная ошибка.)
конфиг squid.conf
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
redirect_children 30
redirector_bypass on
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src 192.168.2.0/24 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access deny to_localhost
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 192.168.2.21:3128
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid 1024 16 256
coredump_dir /var/spool/squid
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
visible_hostname Area-51
cache_effective_user nobody
cache_effective_group nobody
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

"HTTPS через SQUID"
Отправлено Ruldik , 07-Фев-13 12:04

Прошу прощения, действительно HTTPS заруливает на Squid и фильтруется!!!
1360224901.512 174996 192.168.2.111 TCP_MISS/200 15932 CONNECT www.google.ru:443 - DIRECT/173.194.71.94 -
Вот только, если я указываю на запрет например vk.com, не происходит DIRECT на страницу запрета!!!
1360224744.750 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
Подмогните с данной проблемой!!!

"HTTPS через SQUID"
Отправлено Ustinove , 29-Ноя-16 00:13

> Прошу прощения, действительно HTTPS заруливает на Squid и фильтруется!!!
> 1360224901.512 174996 192.168.2.111 TCP_MISS/200 15932 CONNECT www.google.ru:443 - DIRECT/173.194.71.94
> -
> Вот только, если я указываю на запрет например vk.com, не происходит DIRECT
> на страницу запрета!!!
> 1360224744.750 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
> Подмогните с данной проблемой!!!
о я на такое наступал фильтровать надо по такому выражению vk.com:443 а не по vk.com

"HTTPS через SQUID"
Отправлено techbird , 21-Май-17 02:27

> Прошу прощения, действительно HTTPS заруливает на Squid и фильтруется!!!
> 1360224901.512 174996 192.168.2.111 TCP_MISS/200 15932 CONNECT www.google.ru:443 - DIRECT/173.194.71.94
> -
> Вот только, если я указываю на запрет например vk.com, не происходит DIRECT
> на страницу запрета!!!
> 1360224744.750 1 192.168.2.111 TCP_MISS/404 0 CONNECT vk.com:443 - DIRECT/- -
> Подмогните с данной проблемой!!!
https соединение не даст тебе возможности применять свои правила, т.к. не происходит дешифровка данных, если есть необходимость в блокировке то нужно читать SNI сертификата а для этого нужно читать офф.док или как выше говорили форумы https://goo.gl/IjV9yg
http://bfy.tw/BuVS