forum.opennet.ru - "ipfw - закрыт 443-й порт" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw - закрыт 443-й порт"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw - закрыт 443-й порт"
Сообщение от Anonimous on 20-Фев-06, 11:17
ipfw show add 10 allow icmp from any to any add 20 allow ip from any to any via lo0 add 30 deny tcp from any to any 3306 add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,443,21 add 50 divert natd all from any to any via an0 add 60 allow tcp from any to any add 100 allow tcp from any to me 25 setup add 100 allow tcp from me to any 25 add 110 allow tcp from any to me 110 add 110 allow tcp from me to any 110 add 150 allow ip from 192.168.1.0/24 to any add 150 allow ip from any to 192.168.1.0/24 add 160 allow tcp from any to any setup add 170 allow udp from 222.222.222.222 to any 53 keep-state add 200 deny log all from any to any Не пойму что происходит, http работает на ура, всё открывается кроме https. По всякому уже пробовал и add allow tcp from any to any 443 и add allow tcp from any to me 443 add allow tcp from me 443 to any и наоборот Всё равно при попытке открыть сайт с https:// полный зависняк. Подскажите что ещё можно сделать?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

ipfw - закрыт 443-й порт, Xela, 11:42 , 20-Фев-06, (1)

ipfw - закрыт 443-й порт, Anonimous, 11:47 , 20-Фев-06, (2)

ipfw - закрыт 443-й порт, Xela, 11:59 , 20-Фев-06, (4)

ipfw - закрыт 443-й порт, Anonimous, 12:14 , 20-Фев-06, (5)

ipfw - закрыт 443-й порт, paul, 11:54 , 20-Фев-06, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "ipfw - закрыт 443-й порт"

Сообщение от Xela (??) on 20-Фев-06, 11:42

> add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,443,21
Эмм... Прозрачный прокси?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "ipfw - закрыт 443-й порт"

Сообщение от Anonimous on 20-Фев-06, 11:47

>> add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,443,21
>
>Эмм... Прозрачный прокси?

ага, он самый, но думаю не в сквиде дело, там всё как есть
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "ipfw - закрыт 443-й порт"

Сообщение от Xela (??) on 20-Фев-06, 11:59

>ага, он самый, но думаю не в сквиде дело, там всё как
>есть
Именно в нем. НЕЛЬЗЯ прозрачно пробросить SSL.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "ipfw - закрыт 443-й порт"

Сообщение от Anonimous on 20-Фев-06, 12:14

>>ага, он самый, но думаю не в сквиде дело, там всё как
>>есть
>
>Именно в нем. НЕЛЬЗЯ прозрачно пробросить SSL.

О, блин, дурья моя башка...
Огромное спасибо за просвещение

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "ipfw - закрыт 443-й порт"

Сообщение от paul (??) on 20-Фев-06, 11:54

>ipfw show
>
>add 10 allow icmp from any to any
>add 20 allow ip from any to any via lo0
>add 30 deny tcp from any to any 3306
>add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,443,21
>add 50 divert natd all from any to any via an0
>add 60 allow tcp from any to any
>add 100 allow tcp from any to me 25 setup
>add 100 allow tcp from me to any 25
>add 110 allow tcp from any to me 110
>add 110 allow tcp from me to any 110
>add 150 allow ip from 192.168.1.0/24 to any
>add 150 allow ip from any to 192.168.1.0/24
>add 160 allow tcp from any to any setup
>add 170 allow udp from 222.222.222.222 to any 53 keep-state
>add 200 deny log all from any to any
>
>Не пойму что происходит, http работает на ура, всё открывается кроме https.
>
>По всякому уже пробовал
>и
>add allow tcp from any to any 443
>и
>add allow tcp from any to me 443
>add allow tcp from me 443 to any
>и наоборот
>Всё равно при попытке открыть сайт с https:// полный зависняк.
>Подскажите что ещё можно сделать?

А что за универсал весит на 3128 порту, который и http и https и ftp- запросы кэширует? Его конфиг и надо препарировать на предмет включения поддержки https. Я обычно на 3128 порт вешаю сквид и заворачиваю только http траффик. Т.е. еще решение - пускать https мимо прокси:
add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80
add 42 allow tcp from 192.168.1.0/24 to any 443 out xmit an0 setup
add 44 allow tcp from any 443 to 192.168.1.0/24 in recv an0 establish
если, конечно, an0 - внешний интерфейс

Еще момент - в целом набор правил не очень хорош - ИМХО при определенных условиях можно получить опенпрокси. На opennet.ru много реальных примеров для ipfw - рекомендую почитать.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw - закрыт 443-й порт"
Сообщение от Xela (??) on 20-Фев-06, 11:42
> add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,443,21 Эмм... Прозрачный прокси?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "ipfw - закрыт 443-й порт"
	Сообщение от Anonimous on 20-Фев-06, 11:47
	>> add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,443,21 > >Эмм... Прозрачный прокси? ага, он самый, но думаю не в сквиде дело, там всё как есть acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access deny !Safe_ports http_access deny CONNECT !SSL_ports
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "ipfw - закрыт 443-й порт"
	Сообщение от Xela (??) on 20-Фев-06, 11:59
	>ага, он самый, но думаю не в сквиде дело, там всё как >есть Именно в нем. НЕЛЬЗЯ прозрачно пробросить SSL.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "ipfw - закрыт 443-й порт"
	Сообщение от Anonimous on 20-Фев-06, 12:14
	>>ага, он самый, но думаю не в сквиде дело, там всё как >>есть > >Именно в нем. НЕЛЬЗЯ прозрачно пробросить SSL. О, блин, дурья моя башка... Огромное спасибо за просвещение
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

3. "ipfw - закрыт 443-й порт"
Сообщение от paul (??) on 20-Фев-06, 11:54
>ipfw show > >add 10 allow icmp from any to any >add 20 allow ip from any to any via lo0 >add 30 deny tcp from any to any 3306 >add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80,443,21 >add 50 divert natd all from any to any via an0 >add 60 allow tcp from any to any >add 100 allow tcp from any to me 25 setup >add 100 allow tcp from me to any 25 >add 110 allow tcp from any to me 110 >add 110 allow tcp from me to any 110 >add 150 allow ip from 192.168.1.0/24 to any >add 150 allow ip from any to 192.168.1.0/24 >add 160 allow tcp from any to any setup >add 170 allow udp from 222.222.222.222 to any 53 keep-state >add 200 deny log all from any to any > >Не пойму что происходит, http работает на ура, всё открывается кроме https. > >По всякому уже пробовал >и >add allow tcp from any to any 443 >и >add allow tcp from any to me 443 >add allow tcp from me 443 to any >и наоборот >Всё равно при попытке открыть сайт с https:// полный зависняк. >Подскажите что ещё можно сделать? А что за универсал весит на 3128 порту, который и http и https и ftp- запросы кэширует? Его конфиг и надо препарировать на предмет включения поддержки https. Я обычно на 3128 порт вешаю сквид и заворачиваю только http траффик. Т.е. еще решение - пускать https мимо прокси: add 40 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80 add 42 allow tcp from 192.168.1.0/24 to any 443 out xmit an0 setup add 44 allow tcp from any 443 to 192.168.1.0/24 in recv an0 establish если, конечно, an0 - внешний интерфейс Еще момент - в целом набор правил не очень хорош - ИМХО при определенных условиях можно получить опенпрокси. На opennet.ru много реальных примеров для ipfw - рекомендую почитать.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]