Squid+iptables: comment puis-je autoriser le protocole https pour pass-through et en contournant le Calmar?
Fondamentalement commencé avec Squid et iptables aujourd'hui (google est votre ami). Ça va être la mort de moi.
J'ai Squid3 le programme d'installation sur Ubuntu 9.04 serveur en tant que mandataire Transparent. Il travaille doucement lorsque j'utilise le proxy de la boîte que ma passerelle par défaut etc. Les règles iptable pour cette installation a été en partie du tutoriel. 😛
Je ne peux malheureusement pas accéder à des sites https (tels que Gmail ou quoi que ce soit sur le port 443 essentiellement). C'est parce que le Calmar n'aime pas ce qu'il ne peut pas en cache, ce qui dans ce cas est le trafic https.
Je voudrais ajouter une règle iptable pour que je puisse fondamentalement, l'accès https sites et l'utilisation de Skype. Essentiellement permettre à ces types de trafic pour passer à travers sans passer par le proxy Squid? (sans passer par elle pour ainsi dire)
Quelqu'un aurait-il peut-être de savoir comment le faire, ou ont un lien vers toutes les sources de m'aider à essayer de le comprendre?
Merci.
Vous devez vous connecter pour publier un commentaire.
Après songe à mâcher à travers ma propre aux poignets et à rêver de IPs tout au long de la nuit + la force brute googler/essayer TOUT ce que je pourrais obtenir mes numérique doigts sur j'ai réussi à mettre quelque chose ensemble qui fonctionne réellement. Je ne sais pas les raisons techniques, donc si vous pouvez fournir un ensemble d'explications, veuillez le faire! 😀
PS: tout dans l'explication se fait via la ligne de commande
PS: ce n'est pas une solution définitive, mais son travail en réponse à ma propre question.
Ici, il est:
Étape 1: Avait pour activer l'IP Forwarding sur la boîte:
//trouver et dé-commenter la
Étape 2: Ajout de la boucle de retour de la règle (c'est plus pour lorsque tous les ports sont couverts, apparemment, de nombreuses applications ont besoin?
L'étape 3. Ajouter des règles pour le contournement du port 443: (eth1 est l'interface internet et x.x.x.x/eth0 est l'interface LAN)
L'étape 4. Puis, enfin, les règles de prise de Squid transparent:(x.x.x.x est l'IP de l'interface LAN)
net.ipv4.conf_all.rp_filter
est appelénet.ipv4.conf.all.rp_filter
, droit?Que c'est faux. Signifie que tous les paquets
TCP/UDP/etc
que vous envoyez à partir de votre stagiaire LAN à Internet vous permettra de l'utiliser comme SOURCE IP du réseau local Privé IP (probablement 192.178.x.x), au lieu de l'adresse IP Publique.Peut-être que vous aide à:
À bypasss 443 serait assez avec:
Et si votre
system/squid/firewall
est également le routeur de votre réseau à internet, n'oubliez pas:Pour ces explications...
l'étape n ° 1 met en place la machine en tant que routeur. Cela est nécessaire pour toute machine Linux qui va accepter ou de transférer le trafic IP destiné pour les machines autres que lui-même. Sans cela, les niveaux les plus bas de la pile réseau de rejeter le trafic et la NAT n'aurez même pas obtenir une chance de faire sa chose.
étape #2 n'est pas pertinente pour le problème demande. Il peut ou peut ne pas être nécessaire pour le routeur opérations non liées à l'utilisation de proxy.
étape #3 permet à la machine de relais port 443 normalement comme un routeur. Le POSTROUTING de la règle pourrait être amélioré en utilisant la MASCARADE au lieu de SNAT.
étape #4 à la fois les lignes de faire la même chose de différentes façons. La première ligne peut vous conduire à des problèmes dans l'avenir si vous ne savez pas quelles sont les différences entre la DNAT et la REDIRECTION. Pour des raisons de simplicité d'utilisation REDIRIGER uniquement.
Lecture http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRedirect, on aurait pu économiser beaucoup d'ennuis.
Il y a aussi une critique de table mangle règle absent de votre installation qui est expliqué sur cette page wiki.