17.11.2005 12:03 |
|
Новичок
Регистрация: 15.11.2005
Проживание: Samara
Сообщения: 25
|
протокол https
у меня чёт на фрюхе не открываются странички с адресами начинающимися https://
... ктонить может подсказать что?
|
17.11.2005 12:05 |
|
Admin
Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 284
|
протокол https
А ты посмотри, чего проксятина в лог пишет...
tail -F /var/log/squid/access.log
или где он там у тебя
|
17.11.2005 12:18 |
|
Новичок
Регистрация: 15.11.2005
Проживание: Samara
Сообщения: 25
|
протокол https
ничё не пишет...
|
17.11.2005 12:24 |
|
Новичок
Регистрация: 05.10.2005
Проживание:
Сообщения: 13
|
протокол https
э я это типа сочуйствую
|
17.11.2005 12:26 |
|
Admin
Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 284
|
протокол https
> ничё не пишет...
1. Посмотри в squid.conf, куда он кидает лог.
2. Посмотри дамп пакетов типа так:
tcpdump -ni rl0 port 443
|
17.11.2005 12:39 |
|
Новичок
Регистрация: 15.11.2005
Проживание: Samara
Сообщения: 25
|
протокол https
да лог я посмотрел...
когда коннекчус по https куданить, ничё не пишет...
вообще...
|
17.11.2005 12:42 |
|
Admin
Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 284
|
протокол https
> да лог я посмотрел...
Теперь посмотри на пакеты, че куда идет... Мож у тя сквид их сам режет, либо ipfw.
tcpdump -ni rl0 port 443
вместо rl0 подставляй внешний и внутренний интерфейс
|
17.11.2005 12:45 |
|
Новичок
Регистрация: 15.11.2005
Проживание: Samara
Сообщения: 25
|
протокол https
# tcpdump -ni rl0 port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
|
17.11.2005 12:46 |
|
Новичок
Регистрация: 15.11.2005
Проживание: Samara
Сообщения: 25
|
протокол https
htths ещё по 563 порту работает, я в ipfw всё открыл, и в правеле форвардинга тож эти поры указал...
|
17.11.2005 12:48 |
|
Admin
Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 284
|
протокол https
> htths ещё по 563 порту работает, я в ipfw всё открыл, и в правеле форвардинга тож эти поры указал...
Так чего насчет пакетов по порту 443?
|
17.11.2005 12:50 |
|
Новичок
Регистрация: 15.11.2005
Проживание: Samara
Сообщения: 25
|
протокол https
# tcpdump -ni rl0 port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
143 packets received by filter
0 packets dropped by kernel
#
|
17.11.2005 12:51 |
|
Admin
Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 284
|
протокол https
> # tcpdump -ni rl0 port 443
а на внутреннем интерфейсе?
tcpdump -ni rl1 port 443
|
17.11.2005 12:53 |
|
Новичок
Регистрация: 15.11.2005
Проживание: Samara
Сообщения: 25
|
протокол https
# tcpdump -ni xl0 port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on xl0, link-type EN10MB (Ethernet), capture size 96 bytes
14:48:03.119164 IP 192.168.130.13.1809 > 83.149.16.151.443: S 1858561914:1858561914(0) win 65535 <mss 1460,nop,nop,sackOK>
14:48:06.168589 IP 192.168.130.13.1809 > 83.149.16.151.443: S 1858561914:1858561914(0) win 65535 <mss 1460,nop,nop,sackOK>
14:48:12.184187 IP 192.168.130.13.1809 > 83.149.16.151.443: S 1858561914:1858561914(0) win 65535 <mss 1460,nop,nop,sackOK>
^C
3 packets captured
86 packets received by filter
0 packets dropped by kernel
#
|
17.11.2005 12:55 |
|
Admin
Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 284
|
протокол https
Значит, у тебя эти пакеты либо не заворачиваются на прокси, либо режутся файрволом, либо сквид просто не пускает по https (что должно быть наверно отражено в логе)
|
17.11.2005 13:02 |
|
Новичок
Регистрация: 15.11.2005
Проживание: Samara
Сообщения: 25
|
протокол https
если сквид что то не пускает, то в логе пишет с какого адреса DENIED ардес запрашиваемого ресурса, а в логах ничего этого нет когдя я по https коннекчусь...
в правеле заворота есть порты 443 и 563 в ipfw тоже вроде есть allow all from any to any 443, 563
allow all from any 443, 563 to any...
щас гляну...
... без сквида кстате тож неработало...
|
17.11.2005 13:29 |
|
Admin
Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 284
|
протокол https
Кстати, фишка. У тя в конфиге сквида так стоит параметр?
httpd_accel_port 80
Он прозрачный тока по порту 80, для того, чтоб по 443 на прокси попадать, надо в браузере явно прокси указать.
Сквид у мя в лог тогда пишет ок:
1132223586.380 30 192.168.150.2 TCP_MISS/200 3131 CONNECT www.nic.ru:443 serg DIRECT/194.85.61.42 -
1132223586.387 27 192.168.150.2 TCP_MISS/200 3805 CONNECT www.nic.ru:443 serg DIRECT/194.85.61.42 -
Так что заворачивай трафик на прокси тока по порту 80, по другим смысла нет. По https пусть ходят напрямую без прокси, либо всем в браузеры насильно прокси пропиши.
|
17.11.2005 13:38 |
|
Новичок
Регистрация: 15.11.2005
Проживание: Samara
Сообщения: 25
|
протокол https
ща попробую...
httpd_accel_port 80 а вот это нада посмотреть...
|
17.11.2005 15:12 |
|
Новичок
Регистрация: 15.11.2005
Проживание: Samara
Сообщения: 25
|
протокол https
лан, до завтра отложу всё это, а то тут по мелочам доставать начинают, то одно то другое....
сори за офтоп
|
17.11.2005 15:23 |
|
Admin
Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 284
|
протокол https
> сори за офтоп
Как раз не оффтоп, не один ты с такой проблемой
Кстати, про прозрачный прокси тут я писал в статье про сквид, посмотри.
|
18.11.2005 09:06 |
|
Новичок
Регистрация: 15.11.2005
Проживание: Samara
Сообщения: 25
|
протокол https
доброе утречко!
Вернёмся к обсуждению....
Статейку я прочитал, полезная, НО, IP-Tables я не использую...
у меня так:
в ipfw правило вида
ipfw add № fwd 192.168.x.x,3128 tcp from 192.168.x.0/24 to any 80, 1080, 8080, 3128, 443,563, 5190 via xl0
где 192.168.x.x - внутренний IP шлюза, xl0 - внутренний интерфейс.
в squid.conf:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
и там где acl Safe_ports port... добавленны порты 443 и 563
в ipfw есть правила:
ipfw add № allow all from any to any 443, 563
ipfw add № allow all fron any 443, 563 to any
вот собственно и всё...
может в эти правила добавить via внеш. и-фейс?
|