syfer972 Posted December 7, 2010 Share Posted December 7, 2010 Salut, j'ai créée un proxy transparent sur debian avec squid, malheureusement le https ne fonctionne plus. j'ai vue qu'il faut router le traffic https afin qu'il ne passe pas par squid. le problème étant que je ne me suis pas encore lancer dans iptables et donc je n'ai aucune idée de comment faire. Link to comment Share on other sites More sharing options...
SwordMasteR Posted December 7, 2010 Share Posted December 7, 2010 bonjour regarde du coté des ACL de squid, voir si le port 443 est bien dans les ACL_Safe_ports Link to comment Share on other sites More sharing options...
syfer972 Posted December 7, 2010 Author Share Posted December 7, 2010 j'ai tout vérifié de ce coté la il y est bien. Link to comment Share on other sites More sharing options...
SwordMasteR Posted December 7, 2010 Share Posted December 7, 2010 peux tu nous mettre ta conf /etc/squid3/squid.conf stp? Link to comment Share on other sites More sharing options...
syfer972 Posted December 7, 2010 Author Share Posted December 7, 2010 acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT acl myres src 192.168.215.0/255.255.255.0 http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow myres http_access deny all icp_access allow localnet icp_access deny all http_port 3128 transparent hierarchy_stoplist cgi-bin ? access_log /var/log/squid/access.log squid cache_dir ufs /var/spool/squid 1024 256 256 cache_mem 128 MB maximum_object_size 15 MB delay_parameters 1 -1/-1 -1/-1 emulate_httpd_log off refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880 refresh_pattern . 0 20% 4320 acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9] upgrade_http0.9 deny shoutcast acl apache rep_header Server ^Apache broken_vary_encoding allow apache extension_methods REPORT MERGE MKACTIVITY CHECKOUT hosts_file /etc/hosts coredump_dir /var/spool/squid Link to comment Share on other sites More sharing options...
syfer972 Posted December 7, 2010 Author Share Posted December 7, 2010 j'ai trouvé une règle iptables qui semble faire fonctionner l'https. a la base elle est prévue pour 2 interfaces réseaux mais en possédant qu'une j'ai mis la meme en entré et sortie. iptables -A FORWARD -p tcp --dport 443 -i eth0 -o eth0 -m state --state NEW -j ACCEPT est elle bonne ou c'est n'importe quoi pour mon cas ? Link to comment Share on other sites More sharing options...
Dark26 Posted December 7, 2010 Share Posted December 7, 2010 Comment as tu crée la partie "transparente" enytre ton squid et les autres PC ??? Car tu as du créer une règle de routage pour le port 80, et il faudra donc faire la même chose avec le port 443 pour le https Link to comment Share on other sites More sharing options...
syfer972 Posted December 7, 2010 Author Share Posted December 7, 2010 dans mon squid.conf j'ai mis http_port 3128 transparent pour le rendre transparent et j'ai lancé cette commande: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 pour rediriger le trafic vers le proxy. donc d'après toi si je refais la même commande mais en remplaçant 80 par 443 ca devrait fonctionner ? Link to comment Share on other sites More sharing options...
Dark26 Posted December 9, 2010 Share Posted December 9, 2010 dans mon squid.conf j'ai mis http_port 3128 transparent pour le rendre transparent et j'ai lancé cette commande: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 pour rediriger le trafic vers le proxy. donc d'après toi si je refais la même commande mais en remplaçant 80 par 443 ca devrait fonctionner ? voila il suffit de regarder ensuite dans ton access.log de ton squid pour voir si tu as bien les accès https. Link to comment Share on other sites More sharing options...
syfer972 Posted December 14, 2010 Author Share Posted December 14, 2010 bon je galère encore mais pour autre chose. J'ai voulu refaire mon proxy mais en utilisant cette fois ci 2 cartes réseaux. le problème c'est que je n'arrive pas a paramétrer la 2ème carte que j'ai ajouté. je ne la vois pas quand je fais un ifconfig mais je la vois quand je fais un lspci. edit: finalement c'est bon Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.