Прозрачный прокси squid3 и https

Всем хорошего дня. Вообщем настраиваю на debian7 squid3 прозрачный наткнулся на проблему с https, если не прописывать в браузере прокси то не пускает. может кто знает как обойти или как завернуть 443 порт мимо squid???

0

https не поддерживается в прозрачном прокси.

0

Несмотря на то, что

Сообщение от Amet13 https не поддерживается в прозрачном прокси

таки удалось методом "костыля" ssl_bump фильтровать шифрованый трафик. 80 порт переведен на 3128, 443 на 3129. В сквиде включена подмена сетрификата сайта. Вобщем работает, но есть несколько неприятных моментов.
1. В Хроме адресная строка работает только как адресная, как поисковая не работает, вылетает "ошибка SSL" "не удалось подключиться к подлинному сайту". Если вводить корректный URL - хром работает нормально. В ФФ и ИЭ таких проблем нету. Если в Хроме поиском по умолчанию сделать другую поисковую систему (яндекс или мейл.ру) тоже проблем нету.
2. Сайт Фейсбук открывает только текст (фейсбук работает только через https).
3. Твиттер не открывается совсем (тоже работает только через https).
Уверен что есть еще что-то подобное, но пока не столнулся непосредственно.
Что твиттер что фейсбук мне не интересны, но очень хочется разобраться в чем проблема. А вот хром - другое дело, в нем работает вся контора. На что-то другое переучивать людей не получится.
Подозреваю, что крупные ИТ конторы используют какую-то хитрую систему шифрования, с которой мой фейковый сертификат не справляется.
Кто сталкивался, помогите разобраться с даной проблемой, или посоветуйте как по другому блокировать https трафик, когда нужно закрыть социальные сети. И желательно чтоб персонал имел минимум изменений при работе в броузере. Понимаю что костыли влекут за собой другие костыли, но как по другому выполнить задачу пока не знаю.

Заранее благодарен.
И я не верю в то, что никто из форумчан не пробовал использовать даный костыль

1

я сделал по другому мне так было проще по средствам iptables
то есть пустил в обход squid
единственный косяк что правила squid не работают, и если заходить в контакт или ютуб через https то все работает, но и тут можно выйти из ситуации основные сайты бан через iptables

0

Naglfar, это не костыль.
Оно не работает правильно, это даже костылём назвать нельзя.

0

почему не правильно??? я пока не заметил ничего негативного

0

Сообщение от mrCube я сделал по другому мне так было проще по средствам iptables

Мне такой вариант не подойдет. У меня локалка поделена на две части: у одной ограничений нету, у второй бан на социальные сети.
Можно ли фаерволлом разделить локалку на две части и одну пустить через squid, а вторую напрямую?

0

как вариант можно и так, но не пойму я этими правилами просто разрешил 443 порту идти в обход squid, а в squid уже распределяю кому куда ходить можно или нельзя в плоть до 1 ip

0

вот стандартное правило для перенаправления трафика всей сети на сквид.
В выделеной части мне нужно перенправить не всю сеть, а конктретные IP-адреса. Как правильно записать правило?
так?

0

а на чем стоит система?

0

FreeBSD 9.2, squid 3.2. Сервер находится далеко от меня, смотрит в мир, подключаюсь по ssh. К нему пока ничего не подключено, поетому задаю такие вопросы, т.к. не могу ничего проверить сам.

0

Прозрачное проксирование HTTPS в Squid работает, вот нашел инструкцию - http://losst.ru/prozrachnyj-pr... ps-v-squid

0

Сообщение от Moonlight0x0 работает

в свете финального коментария

Нашего ssl сертификата нет в списке доверенных сертификатов браузера, поэтому при попытке открыть https сайт пользователь получит предупреждение о недостоверном ssl сертификате.

это вряд-ли можно назвать словом "работает":

• во первых, про самогенеренные сертификаты современные браузеры не "предупреждают", а "орут"
• а во вторых, современные толи браузеры, толи сайты полюбляют еще и выполнять проверку на подмену сертификата....

0

Сообщение от Dmitry во первых, про самогенеренные сертификаты современные браузеры не "предупреждают", а "орут"

Самоподписные сертификаты, как и сертификаты, подписанные собственным CA, используются в тех случаях, когда существует более надежный способ проверки подлинности сертификата, нежели просто доверие конторе, которая этот сертификат подписала + производителю браузера и/или ОС, включивших сертификат CA в свой состав. Например, в локальной сети, или в инете для связи со своими серверами я всегда сам подписываю сертификаты.
Что касается браузеров и ОС, то включить свой CA в число доверительных - не составляет труда.
Что касается подмены сертификата в прокси, то сотрудники должны предупреждаться о "прослушке" всей информации на рабочем месте.

Сообщение от Dmitry а во вторых, современные толи браузеры, толи сайты полюбляют еще и выполнять проверку на подмену сертификата....

В случае с прозрачным прокси - да, сквид пока не умеет динамически генерировать сертификаты, соответсвующие нужному доменному имени, хотя разрабы сквида над этим работают. Но в корпоративной сети, ИМХО, полноценный прокси с авторизацией - более подходящее решение, нежели прозрачный, а там у сквида всё в порядке.

0

Сообщение от mrCube Всем хорошего дня. Вообщем настраиваю на debian7 squid3 прозрачный наткнулся на проблему с https, если не прописывать в браузере прокси то не пускает. может кто знает как обойти или как завернуть 443 порт мимо squid???

у меня в данном вопросе был немаленький опыт. скажем так.
собирать сквиду с поддержкой ssl. покупать сертификат. тебе будет достаточно и positive ssl (стоит около 20 долларов за год). можно. сделать по другому (пример из моего фаервола):

$IPTABLES -A FORWARD -p tcp -m multiport --dports $FORWARD_TCP_PORTS -j ACCEPT
соотвественно в первой переменной будет слово iptables. во второй до 15 портов, которые вы хотите пропустить транзитом. в них должен быть и 443 порт.

Других выходов в данном случае нет.

0

Прозрачное проксирование прекрасно работает на ssl (MitM). Сертификат покупать не обязательно, если добавить свой сертификат в доверенные ЦС на клиентах (если маленькая сеть без домена - руками, если большая с AD - через gpo, если большая без домена - лучше не заморачиваться))))) Суть настройки такова: в сквиде открываем 3 порта. 3128 http непрозрачный, 3129 http прозрачный, 3130 https прозрачный+ssl_bump. Далее в Safe_Port добавляем 443. И устанавливаем опцию server_first. Примерный блок конфига сквида:

В случае с сертификатом можно попробовать юзать StartSSL.com. Сертификаты дает бесплатно, но надо иметь dns имя в платной зоне (ru, com, org, etc.)

Из всего есть несколько минусов, главный из них - неработоспособность gmail.com. У него сертификат выдан google.com, а ssl_bump выдает именно на gmail. Был один человек, который парой костылей обошел и это.

Добавлено через 47 секунд
Забыл, в файрволле заворачиваем траффик с 80 порта на 3129 а с 443 на 3130

0