- Safe_ports и SSL_ports, Mr. Mistoffelees, 18:48 , 24-Апр-13 (1)
Привет,Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через прокси. Чаще всего это HTTP порты. SSL_ports - это только те порты, которые участвуют в SSL соединении. Эти ACL могут перекрывать друг друга и в этом ничего плохого нет. WWell,
- Safe_ports и SSL_ports, dima, 20:16 , 24-Апр-13 (2)
нету разницы, можно назвать как угодно например KGB_soset
- Safe_ports и SSL_ports, nkly, 08:45 , 25-Апр-13 (3)
> Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через > прокси. Чаще всего это HTTP порты. > SSL_ports - это только те порты, которые участвуют в SSL соединении. > Эти ACL могут перекрывать друг друга и в этом ничего плохого нет. Приведу конкретный пример. Нужно на компьютере в локальной сети обеспечить работу через прокси в системе "Сбербанк Бизнес ОнЛ@йн" Звоню в техподдержку и спрашиваю, что для этого нужно и девушка вежливо отвечает мне дословно следующее: "Нужно открыть на прокси порт 9443" Другой информации она не дает. Моя конфигурация squid выглядит так: ---------------- http_access deny !Safe_ports http_access deny CONNECT !SSL_ports ---------------- В какой из acl нужно добавить этот порт? И самое главное - почему?
- Safe_ports и SSL_ports, Andrey Mitrofanov, 09:41 , 25-Апр-13 (4)
> "Сбербанк Бизнес ОнЛ@йн" > и девушка вежливо отвечает мне дословно следующее: > "Нужно открыть на прокси порт 9443" По моему опыту общения с "клиентом банка" (не этим), > Другой информации она не дает. > Моя конфигурация squid выглядит так: на самом деле нужно открыть порт в NAT&firewall и не вспоминать про сквид. Ну, можешь, конечно, поискать настройку "HTTP прокси" в своём бизнес-онлайне.
- Safe_ports и SSL_ports, nkly, 11:37 , 25-Апр-13 (5)
> на самом деле нужно открыть порт в NAT&firewall и не вспоминать про > сквид.Я сначала тоже так подумал. Но нет. Возможно, конечно, что и NAT&firewall нужно править, но мне этого не потребовалось. После добавления порта в SSL_ports у меня все заработало. В Safe_ports у меня также изначально присутствовала строка: acl Safe_ports port 1025-65535 # unregistered ports То есть порт входит и в Safe_ports однако только с ней не работало. Вот мне и не понятно по какому принципу добавляются порты в тот или иной acl, а может для открытия порта нужно добавлять его в оба acl. Моя конфигурация squid http_access deny !Safe_ports http_access deny CONNECT !SSL_ports говорит о том, что запретить доступ по http по всем портам кроме Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT по всем портам кроме SSL_ports Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами, а с помощью первой строки мы просто разрешаем использование портов. Так зачем нужна вторая строка, если первой мы можем открыть доступ к портам, в том числе и тем что указаны в SSL_ports Однако именно эти две строки присутствуют во всех найденных мной в интернете конфигурациях. Если этих строк две, значит есть какая-то разница. Какая?
- Safe_ports и SSL_ports, gg, 16:54 , 27-Апр-13 (6)
>[оверквотинг удален] > говорит о том, что запретить доступ по http по всем портам кроме > Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT > по всем портам кроме SSL_ports > Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами, > а с помощью первой строки мы просто разрешаем использование портов. Так > зачем нужна вторая строка, если первой мы можем открыть доступ к > портам, в том числе и тем что указаны в SSL_ports > Однако именно эти две строки присутствуют во всех найденных мной в интернете > конфигурациях. > Если этих строк две, значит есть какая-то разница. Какая?Вы сами и ответили. К вашему сбрф скуид подключается методом коннект. В том, что не проходит обычное хттп проксирование, нет ничего удивительного. (или в документации сб-клиент сказано, что он может работать через хттп прокси, и есть окошко, где этот прокси прописывается?)
- Safe_ports и SSL_ports, SHRDLU, 13:21 , 01-Май-13 (7)
> (или в документации сб-клиент сказано, что он > может работать через хттп прокси, и есть окошко, где этот прокси прописывается?) Не возьму в толк, о чем вы. В глаза не видел документации к этому чуду, но у меня на работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси никаких проблем не возникает... Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я не слышал - разве что достаточно давно у нас стояло что-то vpn'оподобное от них, но оно уже года 2 как умерло - в нашем болотце, по крайней мере...
- Safe_ports и SSL_ports, gg, 17:25 , 01-Май-13 (8)
>> (или в документации сб-клиент сказано, что он >> может работать через хттп прокси, и есть окошко, где этот прокси прописывается?) > Не возьму в толк, о чем вы. > В глаза не видел документации к этому чуду, но у меня на > работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси > никаких проблем не возникает... > Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я > не слышал - разве что достаточно давно у нас стояло что-то > vpn'оподобное от них, но оно уже года 2 как умерло - > в нашем болотце, по крайней мере...У топикстартера, как я понял, был вопрос, почему именно CONNECT (а не GET, POST...). Я хотел сказать, что если подобная программа вообще может работать через http прокси, то это почти наверняка туннель через CONNECT.
|