The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ipfw - закрыт 443-й порт"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"ipfw - закрыт 443-й порт"  
Сообщение от Anonimous on 20-Фев-06, 11:17 
ipfw show

add 10 allow icmp from any to any
add 20 allow ip from any to any via lo0
add 30 deny tcp from any to any 3306
add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,443,21
add 50 divert natd all from any to any via an0
add 60 allow tcp from any to any
add 100 allow tcp from any to me 25 setup
add 100 allow tcp from me to any 25
add 110 allow tcp from any to me 110
add 110 allow tcp from me to any 110
add 150 allow ip from 192.168.1.0/24 to any
add 150 allow ip from any to 192.168.1.0/24
add 160 allow tcp from any to any setup
add 170 allow udp from 222.222.222.222 to any 53 keep-state
add 200 deny log all from any to any

Не пойму что происходит, http работает на ура, всё открывается кроме https.
По всякому уже пробовал
и
add allow tcp from any to any 443
и
add allow tcp from any to me 443
add allow tcp from me 443 to any
и наоборот
Всё равно при попытке открыть сайт с https:// полный зависняк.
Подскажите что ещё можно сделать?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "ipfw - закрыт 443-й порт"  
Сообщение от Xela email(??) on 20-Фев-06, 11:42 
> add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,443,21

Эмм... Прозрачный прокси?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "ipfw - закрыт 443-й порт"  
Сообщение от Anonimous on 20-Фев-06, 11:47 
>> add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,443,21
>
>Эмм... Прозрачный прокси?


ага, он самый, но думаю не в сквиде дело, там всё как есть
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "ipfw - закрыт 443-й порт"  
Сообщение от Xela email(??) on 20-Фев-06, 11:59 
>ага, он самый, но думаю не в сквиде дело, там всё как
>есть

Именно в нем. НЕЛЬЗЯ прозрачно пробросить SSL.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "ipfw - закрыт 443-й порт"  
Сообщение от Anonimous on 20-Фев-06, 12:14 
>>ага, он самый, но думаю не в сквиде дело, там всё как
>>есть
>
>Именно в нем. НЕЛЬЗЯ прозрачно пробросить SSL.


О, блин, дурья моя башка...
Огромное спасибо за просвещение

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "ipfw - закрыт 443-й порт"  
Сообщение от paul (??) on 20-Фев-06, 11:54 
>ipfw show
>
>add 10 allow icmp from any to any
>add 20 allow ip from any to any via lo0
>add 30 deny tcp from any to any 3306
>add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,443,21
>add 50 divert natd all from any to any via an0
>add 60 allow tcp from any to any
>add 100 allow tcp from any to me 25 setup
>add 100 allow tcp from me to any 25
>add 110 allow tcp from any to me 110
>add 110 allow tcp from me to any 110
>add 150 allow ip from 192.168.1.0/24 to any
>add 150 allow ip from any to 192.168.1.0/24
>add 160 allow tcp from any to any setup
>add 170 allow udp from 222.222.222.222 to any 53 keep-state
>add 200 deny log all from any to any
>
>Не пойму что происходит, http работает на ура, всё открывается кроме https.
>
>По всякому уже пробовал

>add allow tcp from any to any 443

>add allow tcp from any to me 443
>add allow tcp from me 443 to any
>и наоборот
>Всё равно при попытке открыть сайт с https:// полный зависняк.
>Подскажите что ещё можно сделать?


А что за универсал весит на 3128 порту, который и http и https и ftp- запросы кэширует? Его конфиг и надо препарировать на предмет включения поддержки https. Я обычно на 3128 порт вешаю сквид и заворачиваю только http траффик. Т.е. еще решение - пускать https мимо прокси:
add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80
add 42 allow tcp from 192.168.1.0/24 to any 443 out xmit an0 setup
add 44 allow tcp from any 443 to 192.168.1.0/24 in recv an0 establish
если, конечно, an0 - внешний интерфейс

Еще момент - в целом набор правил не очень хорош - ИМХО при определенных условиях можно получить опенпрокси. На opennet.ru много реальных примеров для ipfw - рекомендую почитать.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру