Часовой пояс: UTC + 3 часа




Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 9 
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
 

Junior
Статус: Не в сети
Регистрация: 16.12.2005
ПРиветствую, Всех кто готов помочь...
В вопросе проксирования https трафика на прозрачном сквид'е..

Значит ситуация такая.
Есть Linux 2.6.18-8.el5 i686 на нем крутится SQUID в режиме Transparent Proxy, все запросы на 80-й порт заворачиваются в 3128 (на уровне fw):
Код:
IPTABLES -t nat -A PREROUTING -s 'LAN_IP_RANGE' -d ! 'LAN_IP' -p tcp --dport 80 -j REDIRECT --to-port 3128


Проблем, нет работает шустро.
А вот запросы на 443 порт (HTTPS), приходится вынужденно маскарадить.
Пробовал заворачивать и 443 на 3128, результатов не дает... Сам SQUID с HTTPS работать умеет, так как если руками в браузере указать адрес прокси, то все работает без проблем, но к сожелению теряется "функционал" самого Transparent Proxy.

Вожет кто решал такую проблему ?

_________________
Core2Duo™ E6600 with BigTyphon @ 2400Ghz | ASUS P5K-R | 2048Gb (Corsair XMS2 6400C4) | ATi 2600 XT | 2 х 80Gb + 320Gb Seagate | FSP 480W



Партнер
 

Member
Статус: Не в сети
Регистрация: 08.03.2004
Откуда: Москва
neWex а на 443 порт где редирект?

_________________
Software is like a sex, it is better when it is free


 

Junior
Статус: Не в сети
Регистрация: 16.12.2005
BaBL писал(а):
neWex а на 443 порт где редирект?


Я его не показал, но я его тоже делал , так же как и 80, - не помогает.

_________________
Core2Duo™ E6600 with BigTyphon @ 2400Ghz | ASUS P5K-R | 2048Gb (Corsair XMS2 6400C4) | ATi 2600 XT | 2 х 80Gb + 320Gb Seagate | FSP 480W


 

Member
Статус: Не в сети
Регистрация: 08.03.2004
Откуда: Москва
Кстати, если взять и подумать, если https можно так просто транспарентом провести - какой же он нахрен тогда секьюрный? Надо посмотреть документацию сквида, что-то мне подсказывает, что это идеологическая ошибка.

_________________
Software is like a sex, it is better when it is free


 

Junior
Статус: Не в сети
Регистрация: 16.12.2005
BaBL писал(а):
Кстати, если взять и подумать, если https можно так просто транспарентом провести - какой же он нахрен тогда секьюрный? Надо посмотреть документацию сквида, что-то мне подсказывает, что это идеологическая ошибка.

Насколько я понимаю, секьюрный он за счет того, что шифрует данные, а не за счет того что прячится за каким то портом. И то что его проведут по разным портам, никак не скажется на качестве шифра.

_________________
Core2Duo™ E6600 with BigTyphon @ 2400Ghz | ASUS P5K-R | 2048Gb (Corsair XMS2 6400C4) | ATi 2600 XT | 2 х 80Gb + 320Gb Seagate | FSP 480W


 

Member
Статус: Не в сети
Регистрация: 08.03.2004
Откуда: Москва
и все таки полистав мейл листы сквида, я прихожу к выводу - что нельзя. Проксируй без транспарента, либо просто нать.

_________________
Software is like a sex, it is better when it is free


 

Member
Статус: Не в сети
Регистрация: 04.12.2003
Откуда: Луганск
neWex
Transparent не возможен, потому, что такая ситуация будет похожа на атаку man-in-the-middle


 

Junior
Статус: Не в сети
Регистрация: 16.12.2005
Ironfist писал(а):
Transparent не возможен, потому, что такая ситуация будет похожа на атаку man-in-the-middle


Вот посмотри http://www.av5.com/journals-magazines-online/1/40/357

Возможен ???

_________________
Core2Duo™ E6600 with BigTyphon @ 2400Ghz | ASUS P5K-R | 2048Gb (Corsair XMS2 6400C4) | ATi 2600 XT | 2 х 80Gb + 320Gb Seagate | FSP 480W


 

Member
Статус: Не в сети
Регистрация: 08.03.2004
Откуда: Москва
neWex
во твоей же ссылке:
Цитата:
Что же касается других популярных протоколов (FTP, HTTPS, и т. д.), то такой возможности в них просто не предусмотрено. На этой «весёлой ноте» можно начать описание проблем.

но можно сделать хак, там описано как (заметь, это уже не тот сквид будет, который ты юзаешь)
Цитата:
Решение данной проблемы требует «хирургического» вмешательства в исходный код прокси-сервера Squid.

Ну и в конце
Цитата:
Ещё одна проблема, оставшаяся в тени, заключается в том, что прокси-сервер может определить адрес удалённого сервера, но не его имя. В связи с этим может возникнуть проблема с доступом по FTP и HTTPS на сервера с виртуальными доменами, которые часто используются на бесплатных хостингах (и не только).

Если ты неудачник - все равно ничего не заработает

_________________
Software is like a sex, it is better when it is free


Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 9 
-

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan