forum.opennet.ru - "Safe_ports и SSL

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Safe_ports и SSL_ports"

Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Safe_ports и SSL_ports"	+/–
Сообщение от nkly (ok) on 24-Апр-13, 15:04
Вопрос скорее теоретический. Просто хочу понять разницу. Во многих статьях и примерах по настройке squid применяются такие acl как Safe_ports и SSL_ports. Используются они и у меня. А вот в чем разница между ними? Какие порты можно отнести к Safe_ports (в переводе с английского - безопасные), а какие к SSL_ports? Некоторые порты могут содержаться в обоих acl одновременно?
Ответить \| Правка \| Cообщить модератору

Оглавление

Safe_ports и SSL_ports, Mr. Mistoffelees, 18:48 , 24-Апр-13, (1)

Safe_ports и SSL_ports, dima, 20:16 , 24-Апр-13, (2)
Safe_ports и SSL_ports, nkly, 08:45 , 25-Апр-13, (3)

Safe_ports и SSL_ports, Andrey Mitrofanov, 09:41 , 25-Апр-13, (4)

Safe_ports и SSL_ports, nkly, 11:37 , 25-Апр-13, (5)

Safe_ports и SSL_ports, gg, 16:54 , 27-Апр-13, (6)

Safe_ports и SSL_ports, SHRDLU, 13:21 , 01-Май-13, (7)

Safe_ports и SSL_ports, gg, 17:25 , 01-Май-13, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Safe_ports и SSL_ports" +/–

Сообщение от Mr. Mistoffelees on 24-Апр-13, 18:48

Привет,
Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через прокси. Чаще всего это HTTP порты.
SSL_ports - это только те порты, которые участвуют в SSL соединении.
Эти ACL могут перекрывать друг друга и в этом ничего плохого нет.
WWell,

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Safe_ports и SSL_ports" +/–

Сообщение от dima (??) on 24-Апр-13, 20:16

нету разницы, можно назвать как угодно например
KGB_soset

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Safe_ports и SSL_ports" +/–

Сообщение от nkly (ok) on 25-Апр-13, 08:45

> Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через
> прокси. Чаще всего это HTTP порты.
> SSL_ports - это только те порты, которые участвуют в SSL соединении.
> Эти ACL могут перекрывать друг друга и в этом ничего плохого нет.
Приведу конкретный пример.
Нужно на компьютере в локальной сети обеспечить работу через прокси в системе "Сбербанк Бизнес ОнЛ@йн"
Звоню в техподдержку и спрашиваю, что для этого нужно и девушка вежливо отвечает мне дословно следующее:
"Нужно открыть на прокси порт 9443"
Другой информации она не дает.
Моя конфигурация squid выглядит так:
----------------
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
----------------
В какой из acl нужно добавить этот порт? И самое главное - почему?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Safe_ports и SSL_ports" +/–

Сообщение от Andrey Mitrofanov on 25-Апр-13, 09:41

> "Сбербанк Бизнес ОнЛ@йн"
> и девушка вежливо  отвечает мне дословно следующее:
> "Нужно открыть на прокси порт 9443"
По моему опыту общения с "клиентом банка" (не этим),
> Другой информации она не дает.
> Моя конфигурация squid выглядит так:
на самом деле нужно открыть порт в NAT&firewall и не вспоминать про сквид.
Ну, можешь, конечно, поискать настройку "HTTP прокси" в своём бизнес-онлайне.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Safe_ports и SSL_ports" +/–

Сообщение от nkly (??) on 25-Апр-13, 11:37

> на самом деле нужно открыть порт в NAT&firewall и не вспоминать про
> сквид.
Я сначала тоже так подумал. Но нет. Возможно, конечно, что и NAT&firewall нужно править, но мне этого не потребовалось.
После добавления порта в SSL_ports у меня все заработало.
В Safe_ports у меня также изначально присутствовала строка:
acl Safe_ports port 1025-65535 # unregistered ports
То есть порт входит и в Safe_ports однако только с ней не работало. Вот мне и не понятно по какому принципу добавляются порты в тот или иной acl, а может для открытия порта нужно добавлять его в оба acl.
Моя конфигурация squid
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
говорит о том, что запретить доступ по http по всем портам кроме Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT по всем портам кроме SSL_ports
Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами, а с помощью первой строки мы просто разрешаем использование портов. Так зачем нужна вторая строка, если первой мы можем открыть доступ к портам, в том числе и тем что указаны в SSL_ports
Однако именно эти две строки присутствуют во всех найденных мной в интернете конфигурациях.
Если этих строк две, значит есть какая-то разница. Какая?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Safe_ports и SSL_ports" +/–

Сообщение от gg (??) on 27-Апр-13, 16:54

>[оверквотинг удален]
> говорит о том, что запретить доступ по http по всем портам кроме
> Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT
> по всем портам кроме SSL_ports
> Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами,
> а с помощью первой строки мы просто разрешаем использование портов. Так
> зачем нужна вторая строка, если первой мы можем открыть доступ к
> портам, в том числе и тем что указаны в SSL_ports
> Однако именно эти две строки присутствуют во всех найденных мной в интернете
> конфигурациях.
> Если этих строк две, значит есть какая-то разница. Какая?
Вы сами и ответили.
К вашему сбрф скуид подключается методом коннект.
В том, что не проходит обычное хттп проксирование, нет ничего удивительного.
(или в документации сб-клиент сказано, что он
может работать через хттп прокси, и есть окошко, где этот прокси прописывается?)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Safe_ports и SSL_ports" +/–

Сообщение от SHRDLU (ok) on 01-Май-13, 13:21

>  (или в документации сб-клиент сказано, что он
> может работать через хттп прокси, и есть окошко, где этот прокси прописывается?)
Не возьму в толк, о чем вы.
В глаза не видел документации к этому чуду, но у меня на работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси никаких проблем не возникает...
Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я не слышал - разве что достаточно давно у нас стояло что-то vpn'оподобное от них, но оно уже года 2 как умерло - в нашем болотце, по крайней мере...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Safe_ports и SSL_ports" +/–

Сообщение от gg (??) on 01-Май-13, 17:25

>>  (или в документации сб-клиент сказано, что он
>> может работать через хттп прокси, и есть окошко, где этот прокси прописывается?)
> Не возьму в толк, о чем вы.
> В глаза не видел документации к этому чуду, но у меня на
> работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси
> никаких проблем не возникает...
> Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я
> не слышал - разве что достаточно давно у нас стояло что-то
> vpn'оподобное от них, но оно уже года 2 как умерло -
> в нашем болотце, по крайней мере...
У топикстартера, как я понял, был вопрос, почему именно CONNECT (а не GET, POST...).
Я хотел сказать, что если подобная программа вообще может работать через http прокси,
то это почти наверняка туннель через CONNECT.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Safe_ports и SSL_ports"	+/–
Сообщение от Mr. Mistoffelees on 24-Апр-13, 18:48
Привет, Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через прокси. Чаще всего это HTTP порты. SSL_ports - это только те порты, которые участвуют в SSL соединении. Эти ACL могут перекрывать друг друга и в этом ничего плохого нет. WWell,
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Safe_ports и SSL_ports"	+/–
	Сообщение от dima (??) on 24-Апр-13, 20:16
	нету разницы, можно назвать как угодно например KGB_soset
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Safe_ports и SSL_ports"	+/–
	Сообщение от nkly (ok) on 25-Апр-13, 08:45
	> Safe_ports - это те, которые админ (вы) считаете "безопасными" для прохождения через > прокси. Чаще всего это HTTP порты. > SSL_ports - это только те порты, которые участвуют в SSL соединении. > Эти ACL могут перекрывать друг друга и в этом ничего плохого нет. Приведу конкретный пример. Нужно на компьютере в локальной сети обеспечить работу через прокси в системе "Сбербанк Бизнес ОнЛ@йн" Звоню в техподдержку и спрашиваю, что для этого нужно и девушка вежливо отвечает мне дословно следующее: "Нужно открыть на прокси порт 9443" Другой информации она не дает. Моя конфигурация squid выглядит так: ---------------- http_access deny !Safe_ports http_access deny CONNECT !SSL_ports ---------------- В какой из acl нужно добавить этот порт? И самое главное - почему?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "Safe_ports и SSL_ports"	+/–
	Сообщение от Andrey Mitrofanov on 25-Апр-13, 09:41
	> "Сбербанк Бизнес ОнЛ@йн" > и девушка вежливо отвечает мне дословно следующее: > "Нужно открыть на прокси порт 9443" По моему опыту общения с "клиентом банка" (не этим), > Другой информации она не дает. > Моя конфигурация squid выглядит так: на самом деле нужно открыть порт в NAT&firewall и не вспоминать про сквид. Ну, можешь, конечно, поискать настройку "HTTP прокси" в своём бизнес-онлайне.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Safe_ports и SSL_ports"	+/–
	Сообщение от nkly (??) on 25-Апр-13, 11:37
	> на самом деле нужно открыть порт в NAT&firewall и не вспоминать про > сквид. Я сначала тоже так подумал. Но нет. Возможно, конечно, что и NAT&firewall нужно править, но мне этого не потребовалось. После добавления порта в SSL_ports у меня все заработало. В Safe_ports у меня также изначально присутствовала строка: acl Safe_ports port 1025-65535 # unregistered ports То есть порт входит и в Safe_ports однако только с ней не работало. Вот мне и не понятно по какому принципу добавляются порты в тот или иной acl, а может для открытия порта нужно добавлять его в оба acl. Моя конфигурация squid http_access deny !Safe_ports http_access deny CONNECT !SSL_ports говорит о том, что запретить доступ по http по всем портам кроме Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT по всем портам кроме SSL_ports Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами, а с помощью первой строки мы просто разрешаем использование портов. Так зачем нужна вторая строка, если первой мы можем открыть доступ к портам, в том числе и тем что указаны в SSL_ports Однако именно эти две строки присутствуют во всех найденных мной в интернете конфигурациях. Если этих строк две, значит есть какая-то разница. Какая?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Safe_ports и SSL_ports"	+/–
	Сообщение от gg (??) on 27-Апр-13, 16:54
	>[оверквотинг удален] > говорит о том, что запретить доступ по http по всем портам кроме > Safe_ports, а дальше запретить доступ по http с использованием метода CONNECT > по всем портам кроме SSL_ports > Метод CONNECT насколько я понимаю используется для создания некоего туннеля между серверами, > а с помощью первой строки мы просто разрешаем использование портов. Так > зачем нужна вторая строка, если первой мы можем открыть доступ к > портам, в том числе и тем что указаны в SSL_ports > Однако именно эти две строки присутствуют во всех найденных мной в интернете > конфигурациях. > Если этих строк две, значит есть какая-то разница. Какая? Вы сами и ответили. К вашему сбрф скуид подключается методом коннект. В том, что не проходит обычное хттп проксирование, нет ничего удивительного. (или в документации сб-клиент сказано, что он может работать через хттп прокси, и есть окошко, где этот прокси прописывается?)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Safe_ports и SSL_ports"	+/–
	Сообщение от SHRDLU (ok) on 01-Май-13, 13:21
	> (или в документации сб-клиент сказано, что он > может работать через хттп прокси, и есть окошко, где этот прокси прописывается?) Не возьму в толк, о чем вы. В глаза не видел документации к этому чуду, но у меня на работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси никаких проблем не возникает... Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я не слышал - разве что достаточно давно у нас стояло что-то vpn'оподобное от них, но оно уже года 2 как умерло - в нашем болотце, по крайней мере...
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Safe_ports и SSL_ports"	+/–
	Сообщение от gg (??) on 01-Май-13, 17:25
	>> (или в документации сб-клиент сказано, что он >> может работать через хттп прокси, и есть окошко, где этот прокси прописывается?) > Не возьму в толк, о чем вы. > В глаза не видел документации к этому чуду, но у меня на > работе в этот сбербанк-бизнес-онлайн люди ходят через браузер, соответственно, с прокси > никаких проблем не возникает... > Может, есть и еще отдельное какое-то сбербанковское приложение, но о нём я > не слышал - разве что достаточно давно у нас стояло что-то > vpn'оподобное от них, но оно уже года 2 как умерло - > в нашем болотце, по крайней мере... У топикстартера, как я понял, был вопрос, почему именно CONNECT (а не GET, POST...). Я хотел сказать, что если подобная программа вообще может работать через http прокси, то это почти наверняка туннель через CONNECT.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору