На шлюзе интернета настроен прокси на squid 3.1.8
Изначально в режиме прозрачного прокси, но теперь его адрес и порт указывается явно в настройках IE большинства пользователей из-за необходимости жестко исключать внутренние подсетки.
Пользователи ,компьютерам которых разрешен доступ только по списку необходимых сайтов не могут зайти на них по https, а пользователи с более широким и неограниченным доступом - спокойно туда же заходят.
Группы доступа настроены по IP .
В логах для первой группы "...tcp_denied/403 connect ... адрес_сайта:443"
Фрагмент squid.conf
..... стандартные наборы безопасных и портов и тд..
.......
acl CONNECT method CONNECT
acl deny_url url_regex "/etc/squid/access/deny_url.txt" адреса запрещенные компьютерам из группы native_access
acl allow_url url_regex "/etc/squid/access/allow_url.txt" адреса сайтов доступные всем компьютерам нашей сети
acl full_access src "/etc/squid/access/access_full.txt" адреса компьютеров с неограниченным доступом
acl native_access src "/etc/squid/access/access.txt" адреса компьютеров с слегка ограниченным доступом
acl HTTP proto HTTP
acl FTP proto FTP.
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow full_access # проблем с https нет
http_access deny deny_url native_access
http_access deny !allow_url FTP
http_access allow native_access # проблем с https нет
http_access allow allow_url all # по этому правилу предполагалось разрешить Http и Https "безынтернетным"
http_access allow localhost
always_direct allow localhost
## allow connections from localhost (HAVP) #вышестоящий прокси с проверкой траффика антивирем, не участвуeт при CONNECT
always_direct allow CONNECT.
## always allow SSL connections direct without havp
То есть, стоит мне добавить ip компьютера в access.txt ,и всё начинает работать.
Как же правильно разрешить общедоступные адреса по HTTPS в таком случае?