Вопрос скорее теоретический. Просто хочу понять разницу.
Во многих статьях и примерах по настройке squid применяются такие acl как Safe_ports и SSL_ports. Используются они и у меня. А вот в чем разница между ними?
Какие порты можно отнести к Safe_ports (в переводе с английского - безопасные), а какие к SSL_ports?
Некоторые порты могут содержаться в обоих acl одновременно?
Привет,Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через прокси. Чаще всего это HTTP порты.
SSL_ports - это только те порты, которые участвуют в SSL соединении.
Эти ACL могут перекрывать друг друга и в этом ничего плохого нет.
WWell,
нету разницы, можно назвать как угодно например
KGB_soset
> Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через
> прокси. Чаще всего это HTTP порты.
> SSL_ports - это только те порты, которые участвуют в SSL соединении.
> Эти ACL могут перекрывать друг друга и в этом ничего плохого нет.Приведу конкретный пример.
Нужно на компьютере в локальной сети обеспечить работу через прокси в системе "Сбербанк Бизнес ОнЛ@йн"
Звоню в техподдержку и спрашиваю, что для этого нужно и девушка вежливо отвечает мне дословно следующее:
"Нужно открыть на прокси порт 9443"
Другой информации она не дает.
Моя конфигурация squid выглядит так:
----------------
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
----------------
В какой из acl нужно добавить этот порт? И самое главное - почему?
> "Сбербанк Бизнес ОнЛ@йн"
> и девушка вежливо отвечает мне дословно следующее:
> "Нужно открыть на прокси порт 9443"По моему опыту общения с "клиентом банка" (не этим),
> Другой информации она не дает.
> Моя конфигурация squid выглядит так:на самом деле нужно открыть порт в NAT&firewall и не вспоминать про сквид.
Ну, можешь, конечно, поискать настройку "HTTP прокси" в своём бизнес-онлайне.
> на самом деле нужно открыть порт в NAT&firewall и не вспоминать про
> сквид.Я сначала тоже так подумал. Но нет. Возможно, конечно, что и NAT&firewall нужно править, но мне этого не потребовалось.
После добавления порта в SSL_ports у меня все заработало.
В Safe_ports у меня также изначально присутствовала строка:
acl Safe_ports port 1025-65535 # unregistered ports
То есть порт входит и в Safe_ports однако только с ней не работало. Вот мне и не понятно по какому принципу добавляются порты в тот или иной acl, а может для открытия порта нужно добавлять его в оба acl.
Моя конфигурация squid
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
говорит о том, что запретить доступ по http по всем портам кроме Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT по всем портам кроме SSL_ports
Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами, а с помощью первой строки мы просто разрешаем использование портов. Так зачем нужна вторая строка, если первой мы можем открыть доступ к портам, в том числе и тем что указаны в SSL_ports
Однако именно эти две строки присутствуют во всех найденных мной в интернете конфигурациях.
Если этих строк две, значит есть какая-то разница. Какая?
>[оверквотинг удален]
> говорит о том, что запретить доступ по http по всем портам кроме
> Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT
> по всем портам кроме SSL_ports
> Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами,
> а с помощью первой строки мы просто разрешаем использование портов. Так
> зачем нужна вторая строка, если первой мы можем открыть доступ к
> портам, в том числе и тем что указаны в SSL_ports
> Однако именно эти две строки присутствуют во всех найденных мной в интернете
> конфигурациях.
> Если этих строк две, значит есть какая-то разница. Какая?Вы сами и ответили.
К вашему сбрф скуид подключается методом коннект.
В том, что не проходит обычное хттп проксирование, нет ничего удивительного.
(или в документации сб-клиент сказано, что он
может работать через хттп прокси, и есть окошко, где этот прокси прописывается?)
> (или в документации сб-клиент сказано, что он
> может работать через хттп прокси, и есть окошко, где этот прокси прописывается?)Не возьму в толк, о чем вы.
В глаза не видел документации к этому чуду, но у меня на работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси никаких проблем не возникает...
Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я не слышал - разве что достаточно давно у нас стояло что-то vpn'оподобное от них, но оно уже года 2 как умерло - в нашем болотце, по крайней мере...
>> (или в документации сб-клиент сказано, что он
>> может работать через хттп прокси, и есть окошко, где этот прокси прописывается?)
> Не возьму в толк, о чем вы.
> В глаза не видел документации к этому чуду, но у меня на
> работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси
> никаких проблем не возникает...
> Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я
> не слышал - разве что достаточно давно у нас стояло что-то
> vpn'оподобное от них, но оно уже года 2 как умерло -
> в нашем болотце, по крайней мере...У топикстартера, как я понял, был вопрос, почему именно CONNECT (а не GET, POST...).
Я хотел сказать, что если подобная программа вообще может работать через http прокси,
то это почти наверняка туннель через CONNECT.