Jump to content

squid et https


Recommended Posts

Salut, j'ai créée un proxy transparent sur debian avec squid, malheureusement le https ne fonctionne plus. j'ai vue qu'il faut router le traffic https afin qu'il ne passe pas par squid. le problème étant que je ne me suis pas encore lancer dans iptables et donc je n'ai aucune idée de comment faire. :transpi:

Link to comment
Share on other sites

acl all src all

acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl to_localhost dst 127.0.0.0/8

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network

acl localnet src 172.16.0.0/12 # RFC1918 possible internal network

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl SSL_ports port 443 # https

acl SSL_ports port 563 # snews

acl SSL_ports port 873 # rsync

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 631 # cups

acl Safe_ports port 873 # rsync

acl Safe_ports port 901 # SWAT

acl purge method PURGE

acl CONNECT method CONNECT

acl myres src 192.168.215.0/255.255.255.0

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access allow myres

http_access deny all

icp_access allow localnet

icp_access deny all

http_port 3128 transparent

hierarchy_stoplist cgi-bin ?

access_log /var/log/squid/access.log squid

cache_dir ufs /var/spool/squid 1024 256 256

cache_mem 128 MB

maximum_object_size 15 MB

delay_parameters 1 -1/-1 -1/-1

emulate_httpd_log off

refresh_pattern ^ftp: 1440 20% 10080

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i (/cgi-bin/|\?) 0 0% 0

refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880

refresh_pattern . 0 20% 4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]

upgrade_http0.9 deny shoutcast

acl apache rep_header Server ^Apache

broken_vary_encoding allow apache

extension_methods REPORT MERGE MKACTIVITY CHECKOUT

hosts_file /etc/hosts

coredump_dir /var/spool/squid

Link to comment
Share on other sites

j'ai trouvé une règle iptables qui semble faire fonctionner l'https. a la base elle est prévue pour 2 interfaces réseaux mais en possédant qu'une j'ai mis la meme en entré et sortie.

iptables -A FORWARD -p tcp --dport 443 -i eth0 -o eth0 -m state --state NEW -j ACCEPT

est elle bonne ou c'est n'importe quoi pour mon cas ?

Link to comment
Share on other sites

dans mon squid.conf j'ai mis http_port 3128 transparent pour le rendre transparent et j'ai lancé cette commande: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 pour rediriger le trafic vers le proxy.

donc d'après toi si je refais la même commande mais en remplaçant 80 par 443 ca devrait fonctionner ?

Link to comment
Share on other sites

dans mon squid.conf j'ai mis http_port 3128 transparent pour le rendre transparent et j'ai lancé cette commande: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 pour rediriger le trafic vers le proxy.

donc d'après toi si je refais la même commande mais en remplaçant 80 par 443 ca devrait fonctionner ?

voila

il suffit de regarder ensuite dans ton access.log de ton squid pour voir si tu as bien les accès https.

Link to comment
Share on other sites

bon je galère encore mais pour autre chose.

J'ai voulu refaire mon proxy mais en utilisant cette fois ci 2 cartes réseaux. le problème c'est que je n'arrive pas a paramétrer la 2ème carte que j'ai ajouté. je ne la vois pas quand je fais un ifconfig mais je la vois quand je fais un lspci.

edit: finalement c'est bon :transpi:

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...