https://opennet.dev/openforum/vsluhforumID12/5890.html Доброго времени суток!<br><br>Итак что мы имеем<br>1. RedHat Enterprise 5<br>2. Squid build 2.6 STABLE<br>3. Iptables v1.3.5<br><br>Желаемый результат<br>Прозрачное проксирование "Сквидом" не только 80 порта, но и 443.<br><br>В файере для заворота пользавков использую<br>iptables -t nat -A PREROUTING -s 192.168.x.x -p tcp -d 0.0.0.0/0 --dport 80 -j REDIRECT --to-ports 3128<br><br><br>В самом squid`e<br>http_port 3128 transparent<br>https_port 3128 transparent key=/etc/squid/key.pm cert=/etc/squid/certificate.pm<br><br>и далее набор стандартных правил<br><br>Ключ создавался без использования шифрования а именно:<br>openssl genrsa -out key.pem<br>openssl req -new -key key.pem -out certificate.pem<br><br><br>Так вот если я заворачиваю при помощи iptables 443 порт в squid, то это не работает (iptables -t nat -A PREROUTING -s 192.168.x.x -p tcp -d 0.0.0.0/0 --dport 443 -j REDIRECT --to-ports 3128)<br><br><br>Вопрос: Как же его собственно в squid завернуть, может кто знает?<br><br>P.S&gt; При условии выставления в IE прокси вручную, то все работает...))))<br> https://opennet.dev/openforum/vsluhforumID12/5890.html#29 Tue, 29 Jan 2013 09:53:58 GMT &gt;[оверквотинг удален]<br>&gt; -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535 <br>&gt; --dport 80 -j REDIRECT --to-ports 3128 <br>&gt; -A PREROUTING -s 192.168.0.0/24 -i eth0 -p tcp -m tcp --sport 1024:65535 <br>&gt; --dport 443 -j REDIRECT --to-ports 3129 <br>&gt; * Проверено на Ubuntu 10.04 LTS <br>&gt; * Работает даже на одном порту <br>&gt; * Спасибо за статью - вдохновляет.<br>&gt; Объясните пожалуйста, какие параметры нужно указывать при создании сертификата. Ни в какую <br>&gt; не получается пробиться к сайтам https. Трафик заварчивается, выскакивают предупреждения <br>&gt; о сертификации и всё - дальше не пускеат!<br><br>Поддерживаю, такая же песня. Народ удалось решить проблему?<br> https://opennet.dev/openforum/vsluhforumID12/5890.html#28 Wed, 05 Dec 2012 11:54:40 GMT &gt;[оверквотинг удален]<br>&gt; та же проблема, но решил пока так: <br>&gt; заставил squid слушать два порта 3128 и 3129. в firewall в prerouting <br>&gt; исходящие на порт 80 закручиваю на 3128. в forward tcp закрыл. <br>&gt; получается: народ без настроек proxy идет в инет через squid сам того <br>&gt; не зная. А тому, кому надо пускай настраивает проксю на порт <br>&gt; 3129 на все порты.<br>&gt; squid.conf: <br>&gt; http_port 10.1.2.2:3128 transparent <br>&gt; http_port 10.1.2.2:3129 <br>&gt; Вроде работает :) <br><br>Всем привет, уважаемые коллеги. Итак для того что бы РАБОТАЛО надо:<br>1. Чтобы при проверке версии squid в строке конфигурации обязательно была опция '--enable-ssl' иначе кина небудет, и не мечтайте.<br><br>2. Если версия &gt;= libssl0.9.6 При создании сертификатов и ключей оперироваться командами для создания ключей:<br>openssl genrsa -out /etc/squid/ssl/squid.key<br>openssl req -new -key /etc/squid/ssl/squid.key -out /etc/squid/ssl/squid.csr<br>openssl x509 -req -days 3650 -in /etc/squid/ssl/squid.csr -signkey /etc/squid/ssl/squid.key -out /etc/squid/ssl/s https://opennet.dev/openforum/vsluhforumID12/5890.html#27 Thu, 25 Oct 2012 06:21:49 GMT &gt; На сквида так и нет !!!! Что нужно ёщё сделать !!!!<br><br>Здесь подробно написано - все собралось без проблем.<br>http://www.d90.us/toolbox/2009/05/26/adding-ssl-support-to-squid-package-on-ubuntu/<br> https://opennet.dev/openforum/vsluhforumID12/5890.html#26 Thu, 02 Aug 2012 11:43:34 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; <br>&gt; Enable Transparent Proxy support for Linux <br>&gt; <br>&gt; <br>&gt; (Netfilter) <br>&gt; --enable-linux-tproxy Enable real Transparent Proxy support for Netfilter <br>&gt; <br>&gt; <br>&gt; TPROXY (version 2).<br><br>Народ как пересобрать squid 3 на debian6 c флагом --enable-ssl,, не могу осилить данную инструкцию: на шаге <br>6 - ./configure<br>7 - debuild -us -uc -b<br><br>Пересобрался дистрибутив <br><br>dpkg-source --after-build squid3-3.1.6<br>dpkg-buildpackage: закачка только двоичных пакетов (без пакетов исходного кода)<br>Now running lintian...<br>warning: lintian's authors do not recommend running it with root privileges!<br>E: squid3: possible-gpl-code-linked-with-openssl<br>Finished running lintian.<br><br><br>На сквида так и нет !!!! Что нужно ёщё сделать !!!!<br><br>download squid sources:<br><br>apt-get source squid<br><br>download squid build dependencies:<br><br>apt-get build-dep squid<br><br>download sources for openssh:<br><br> <br><br>apt-get build-dep openssh<br><br>download https://opennet.dev/openforum/vsluhforumID12/5890.html#25 Mon, 16 Jul 2012 12:04:02 GMT &gt; 1е на что идёт ругань конфига "https_port 192.168.0.254:3129 transparent" <br>&gt; WARNING: transparent proxying not supported <br>&gt; quid -v <br>&gt; Squid Cache: Version 3.1.19 <br>&gt; ...configure options: '--enable-ssl' '--with-openssl=/usr/local' '--enable-ssl-crtd'... <br><br>а где:<br>--enable-linux-netfilter<br> Enable Transparent Proxy support for Linux <br> (Netfilter)<br>--enable-linux-tproxy Enable real Transparent Proxy support for Netfilter<br> TPROXY (version 2).<br> https://opennet.dev/openforum/vsluhforumID12/5890.html#24 Mon, 18 Jun 2012 11:25:39 GMT 1е на что идёт ругань конфига "https_port 192.168.0.254:3129 transparent"<br>WARNING: transparent proxying not supported<br><br>quid -v<br>Squid Cache: Version 3.1.19<br>...configure options: '--enable-ssl' '--with-openssl=/usr/local' '--enable-ssl-crtd'...<br> https://opennet.dev/openforum/vsluhforumID12/5890.html#23 Tue, 06 Mar 2012 13:07:18 GMT Копай в сторону tcp_outgoing_address (айпишник провайдера) (ACL со списком клиентов)<br><br>&gt;[оверквотинг удален]<br>&gt; -A FORWARD -i eth+ -j ACCEPT <br>&gt; -A FORWARD -o eth+ -j ACCEPT <br>&gt; -A FORWARD -j REJECT --reject-with icmp-host-prohibited <br>&gt; -A FORWARD -s xx.xx.xx.xx -j ACCEPT <br>&gt; [root@inetguard ~]# <br>&gt; Однако это не работает, юзеры с айпи xx.xx.xx.xx не идут через eth0, <br>&gt; а идут через прокси, если обращаться например по 80 порту на <br>&gt; сервак. По другим портам (не указанным в iptables всё ок, идут <br>&gt; напрямую).<br>&gt; Подскажите куда копать?<br><br> https://opennet.dev/openforum/vsluhforumID12/5890.html#22 Thu, 01 Mar 2012 12:31:08 GMT Доброго времени суток всем!<br>Похожая ситуация, но немного сложнее:<br>Есть сервер с тремя сетевыми картами,на нём squid прозрачный и iptables.<br>eth0 смотрит в локалку<br>eth1 в быстрый инет<br>eth2 в медленный инет, но с белыми адресами<br>Необходимо, чтобы компы с адресами хх.хх.хх.хх попадали через этот сервер в инет напрямую через eth2, минуя squid, не натясь айпишником сервера, а своими реальным адресами.<br>Остальные компы должны ходить в инет через squid, через eth1.<br><br>листинг iptables следующий:<br>iptables --list-rules<br>-P INPUT ACCEPT<br>-P FORWARD ACCEPT<br>-P OUTPUT ACCEPT<br>-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <br>-A INPUT -p icmp -j ACCEPT <br>-A INPUT -i lo -j ACCEPT <br>-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT <br>-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT <br>-A INPUT -p tcp -m state --state NEW -m tcp --dport 2049 -j ACCEPT <br>-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT <br>-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCE https://opennet.dev/openforum/vsluhforumID12/5890.html#21 Sat, 19 Nov 2011 09:01:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt; после чего все работает.<br>&gt; мучаюсь с кальмаром уже месяц( нифига не получается заставить его работать прозрачно <br>&gt; с ссл, ключи генерил, iptables настраивал, sslproxy_flags DONT_VERIFY_PEER добавлял, <br>&gt; а в ответ с сервера с хттпс страницей получаю 302 found <br>&gt; (( <br>&gt; дистр арч <br>&gt; сквид 3.1.14, собран с флагом --enable-ssl <br>&gt; openssl 1.0.0.e <br>&gt; что я делаю не так? помогите пожалуйста, а то пиво уже не <br>&gt; помогает...<br><br>Прочитав статью у меня вроди все запахало... <br>Но теперь в браузере постоянно выскакивают запросы на прием сертификата... причем тыкнув на ссылку мне сразу выскакивает несколько запросов на прием нескольких сертов... после того как все приму, (штуки 3) я могу ходить по сайту и ничего не выскакивает... <br>Как бы это отключить? <br><br>