Squid+iptables: comment puis-je autoriser le protocole https pour pass-through et en contournant le Calmar?

Fondamentalement commencé avec Squid et iptables aujourd'hui (google est votre ami). Ça va être la mort de moi.

J'ai Squid3 le programme d'installation sur Ubuntu 9.04 serveur en tant que mandataire Transparent. Il travaille doucement lorsque j'utilise le proxy de la boîte que ma passerelle par défaut etc. Les règles iptable pour cette installation a été en partie du tutoriel. 😛

Je ne peux malheureusement pas accéder à des sites https (tels que Gmail ou quoi que ce soit sur le port 443 essentiellement). C'est parce que le Calmar n'aime pas ce qu'il ne peut pas en cache, ce qui dans ce cas est le trafic https.

Je voudrais ajouter une règle iptable pour que je puisse fondamentalement, l'accès https sites et l'utilisation de Skype. Essentiellement permettre à ces types de trafic pour passer à travers sans passer par le proxy Squid? (sans passer par elle pour ainsi dire)

Quelqu'un aurait-il peut-être de savoir comment le faire, ou ont un lien vers toutes les sources de m'aider à essayer de le comprendre?

Merci.

InformationsquelleAutor David 'the bald ginger' | 2010-04-08
  1. 5

    Après songe à mâcher à travers ma propre aux poignets et à rêver de IPs tout au long de la nuit + la force brute googler/essayer TOUT ce que je pourrais obtenir mes numérique doigts sur j'ai réussi à mettre quelque chose ensemble qui fonctionne réellement. Je ne sais pas les raisons techniques, donc si vous pouvez fournir un ensemble d'explications, veuillez le faire! 😀

    PS: tout dans l'explication se fait via la ligne de commande

    PS: ce n'est pas une solution définitive, mais son travail en réponse à ma propre question.

    Ici, il est:

    Étape 1: Avait pour activer l'IP Forwarding sur la boîte:

    vim /etc/sysctl.conf

    //trouver et dé-commenter la

    net.ipv4.ip_forward=1
net.ipv4.conf.all.rp_filter=1

    Étape 2: Ajout de la boucle de retour de la règle (c'est plus pour lorsque tous les ports sont couverts, apparemment, de nombreuses applications ont besoin?

    iptables -I INPUT -i lo -j ACCEPT

    L'étape 3. Ajouter des règles pour le contournement du port 443: (eth1 est l'interface internet et x.x.x.x/eth0 est l'interface LAN)

    iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source x.x.x.x

    L'étape 4. Puis, enfin, les règles de prise de Squid transparent:(x.x.x.x est l'IP de l'interface LAN)

    iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination x.x.x.x:3128

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
    • net.ipv4.conf_all.rp_filter est appelé net.ipv4.conf.all.rp_filter, droit?
    InformationsquelleAutor David 'the bald ginger'
  2. 3
    iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source x.x.x.x

    Que c'est faux. Signifie que tous les paquets TCP/UDP/etc que vous envoyez à partir de votre stagiaire LAN à Internet vous permettra de l'utiliser comme SOURCE IP du réseau local Privé IP (probablement 192.178.x.x), au lieu de l'adresse IP Publique.

    Peut-être que vous aide à: 

    PREROUTING == DestinationNAT -> From Internet to Intern LAN

POSTROUTING == SourceNAT -> From Intern LAN to Internet


iptables -t nat -A PREROUTING -i intern -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -A INPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -i intern -p tcp --dport 3128 
iptables -A OUTPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -o extern -p tcp --dport 80
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -i extern -p tcp --sport 80
iptables -A OUTPUT -j ACCEPT -m --state ESTABLISHED,RELATED -o intern -p tcp --sport 80

    À bypasss 443 serait assez avec:

    iptables -I FORWARD -p tcp --dport 443 -j ACCEPT

    Et si votre system/squid/firewall est également le routeur de votre réseau à internet, n'oubliez pas:

    iptables -t nat -A POSTROUTING -o extern -j SNAT --to-source Public_external_IP
    • Merci pour la réponse. Je ne travaille plus sur ce sujet, mais je l'ai transmis votre réponse pour le département informatique. qui a pris le contrôle du travail que je faisais.
    InformationsquelleAutor dgabad
  3. 1

    Pour ces explications...

    l'étape n ° 1 met en place la machine en tant que routeur. Cela est nécessaire pour toute machine Linux qui va accepter ou de transférer le trafic IP destiné pour les machines autres que lui-même. Sans cela, les niveaux les plus bas de la pile réseau de rejeter le trafic et la NAT n'aurez même pas obtenir une chance de faire sa chose.

    étape #2 n'est pas pertinente pour le problème demande. Il peut ou peut ne pas être nécessaire pour le routeur opérations non liées à l'utilisation de proxy.

    étape #3 permet à la machine de relais port 443 normalement comme un routeur. Le POSTROUTING de la règle pourrait être amélioré en utilisant la MASCARADE au lieu de SNAT.

    étape #4 à la fois les lignes de faire la même chose de différentes façons. La première ligne peut vous conduire à des problèmes dans l'avenir si vous ne savez pas quelles sont les différences entre la DNAT et la REDIRECTION. Pour des raisons de simplicité d'utilisation REDIRIGER uniquement.

    Lecture http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRedirect, on aurait pu économiser beaucoup d'ennuis.

    Il y a aussi une critique de table mangle règle absent de votre installation qui est expliqué sur cette page wiki.

    • La question a été posée 6years ans. 🙂 Merci pour votre réponse, mais c'était peut-être conçu comme un commentaire sur l'marqué de répondre au lieu de répondre lui-même?
    • Il était. Je n'ai pas eu de commentaire de privilèges lors de la prestation, il avait donc de l'écrire comme une réponse complète
    InformationsquelleAutor Amos Jeffries